Sysdig-Image-Scans konfigurieren
Zum Scannen von Container-Images in icr.io und zum Melden von Schwachstellen, die in diesen Images vorhanden sind, können Sie den Sysdig-CLI-Scanner verwenden. Dieser Scan wird als Teil der Scan-Artefakt-Phase von CI-und CC-Pipelines
ausgeführt. Dieser Scan wird für jedes Container-Image in icr.io ausgeführt, das Sie mit der Methode save_artifact
in der Pipeline gespeichert haben. Weitere Informationen finden Sie unter save_artifact.
Die folgenden Schlüssel sind für save_artifact erforderlich, um jedes Image mit dem Sysdig-Scanner zu scannen:
type: muss auf das Image gesetzt seinname: Ein vollständig qualifizierter Name für das Container-Image Beispiel: Namen, die zum Extrahieren des Docker verwendet werden.digest: Der sha256-Digest für das Container-Image
Das Sysdig-Script führt den Sysdig-CLI-Scanner in Ihrer DevSec-Ops-Pipeline aus und erfasst Angaben, die auf den Scanergebnissen basieren.
Der Scan des Sysdig-CLI-Scanners wird für jedes Image in der gespeicherten list_artifacts-Artefaktmethode ausgeführt. Weitere Informationen finden Sie unter list_artifacts.
Dieser Scan wird als Teil der Scan-Artefakt-Phase von CI-und CC-Pipelines ausgeführt.
Das Script führt den Sysdig-CLI-Scanner-Image-Scan für das Image aus und lädt die Ergebnisse in die angegebene Sysdig-URL-Instanz hoch.
Wenn im Sysdig-Dashboard Richtlinien erstellt wurden, bei denen die Option Immer anwenden aktiviert ist, werden die Probleme nur für Schwachstellen erstellt, bei denen diese Richtlinien fehlschlagen. Die Variable sysdig-policies kann auch verwendet werden, um die Ergebnisse auf der Basis angegebener Richtlinien auszuwerten, aber die Richtlinien mit "always apply" werden unabhängig von der Auswertung der Ergebnisse verwendet.
Informationen zur Erstellung einer Instanz von IBM Cloud® Security and Compliance Center Workload Protection in IBM Cloud®finden Sie unter Instanz von Workload Protection.
Erforderliche Sysdig-Scanparameter
| Parametername | Beschreibung |
|---|---|
sysdig-scan |
Setzen Sie diesen Parameter auf den Aufzählungswert 0 oder 1. Wenn der Wert auf 1 gesetzt ist, wird der Sysdig-Scan aufgerufen |
sysdig-api-token |
Setzen Sie diesen Parameter auf einen geheimen Schlüssel, der auf das Sysdig-API-Token gesetzt werden muss. Das Token ist auf der Benutzerprofilseite der Sysdig-Instanz sichtbar. |
Optionale Sysdig-Scanparameter
| Parametername | Standardwert | Beschreibung |
|---|---|---|
sysdig-url |
https://us-south.security-compliance-secure.cloud.ibm.com (Eigenschaft ist nicht festgelegt) |
Die URL der Sysdig-Instanz, die für den Scan verwendet werden soll Dieser Wert muss angegeben werden, wenn eine andere Sysdig-Instanz verwendet wird. |
cr-ibmcloud-api-key |
Überschreibungen ibmcloud-api-key, falls angegeben, zum Extrahieren des Image aus der Container-Registry für den Sysdig-Scan |
|
sysdig-policies |
Durch Kommas getrennte Werte der sysdig-Richtlinien-ID. Sie finden die Richtlinienkennung im Abschnitt How to scan Images with this policy (suchen Sie nach dem Namen nach dem Tag --policy ) |
Die verschiedenen sysdig-url-Werte, die bei Verwendung des IBM Cloud Workload Protection-Service verwendet werden sollen, finden Sie hier.
Es können auch externe sichere Sysdig-Instanzen wie https://secure.sysdig.com verwendet werden. Es muss ein entsprechender sysdig-url-Wert angegeben werden.
Angaben und Anhänge
Die erstellten Angaben basieren auf den Werten in Tabelle 3. Die DevSecOps-Pipeline lädt Angaben in den Spind hoch und schließt die Angaben in die Angabenzusammenfassung für Änderungsanforderungen ein.
| Feld | Wert |
|---|---|
| Typ des Tools | sysdig |
| Angabentyp | com.ibm.code_vulnerability_scan |
| Assettyp | artifact |
| Anhänge | scan report generated by the sysdig cli scanner in JSON |
| Anhänge | processed scan report containing an array of vulnerabilities filtering out the ignored vulnerailities - in JSON |
Debugging und Protokollierung
| Parametername | Standardwert | Beschreibung |
|---|---|---|
| pipeline-debug | 0 | Debug-Flag 0 off; 1 on |
Auf Scanergebnisse zugreifen
Sie können auf Ihre Scanergebnisse mit einer der folgenden Methoden zugreifen:
- Sie werden im Sysdig-Dashboard angezeigt Öffnen Sie das sichere Sysdig-Dashboard und suchen Sie nach dem gerade in
Image Resultsgescannten Bild. - Verwenden Sie die DevSecOps-CLI, um Ihre Scanergebnisse aus dem Angabenschließfach mithilfe der Informationen herunterzuladen, die im Phasenprotokoll ausgegeben werden. Weitere Informationen können Sie über die folgenden Links aufrufen: