IBM Cloud Docs
Sysdig-Image-Scans konfigurieren

Sysdig-Image-Scans konfigurieren

Zum Scannen von Container-Images in icr.io und zum Melden von Schwachstellen, die in diesen Images vorhanden sind, können Sie den Sysdig-CLI-Scanner verwenden. Dieser Scan wird als Teil der Scan-Artefakt-Phase von CI-und CC-Pipelines ausgeführt. Dieser Scan wird für jedes Container-Image in icr.io ausgeführt, das Sie mit der Methode save_artifact in der Pipeline gespeichert haben. Weitere Informationen finden Sie unter save_artifact.

Die folgenden Schlüssel sind für save_artifact erforderlich, um jedes Image mit dem Sysdig-Scanner zu scannen:

  • type: muss auf das Image gesetzt sein
  • name: Ein vollständig qualifizierter Name für das Container-Image Beispiel: Namen, die zum Extrahieren des Docker verwendet werden.
  • digest: Der sha256-Digest für das Container-Image

Das Sysdig-Script führt den Sysdig-CLI-Scanner in Ihrer DevSec-Ops-Pipeline aus und erfasst Angaben, die auf den Scanergebnissen basieren.

Der Scan des Sysdig-CLI-Scanners wird für jedes Image in der gespeicherten list_artifacts-Artefaktmethode ausgeführt. Weitere Informationen finden Sie unter list_artifacts. Dieser Scan wird als Teil der Scan-Artefakt-Phase von CI-und CC-Pipelines ausgeführt.

Das Script führt den Sysdig-CLI-Scanner-Image-Scan für das Image aus und lädt die Ergebnisse in die angegebene Sysdig-URL-Instanz hoch.

Wenn im Sysdig-Dashboard Richtlinien erstellt wurden, bei denen die Option Immer anwenden aktiviert ist, werden die Probleme nur für Schwachstellen erstellt, bei denen diese Richtlinien fehlschlagen. Die Variable sysdig-policies kann auch verwendet werden, um die Ergebnisse auf der Basis angegebener Richtlinien auszuwerten, aber die Richtlinien mit "always apply" werden unabhängig von der Auswertung der Ergebnisse verwendet.

Informationen zur Erstellung einer Instanz von IBM Cloud® Security and Compliance Center Workload Protection in IBM Cloud®finden Sie unter Instanz von Workload Protection.

Erforderliche Sysdig-Scanparameter

Tabelle 1. Erforderliche Sysdig-Scanparameter
Parametername Beschreibung
sysdig-scan Setzen Sie diesen Parameter auf den Aufzählungswert 0 oder 1. Wenn der Wert auf 1 gesetzt ist, wird der Sysdig-Scan aufgerufen
sysdig-api-token Setzen Sie diesen Parameter auf einen geheimen Schlüssel, der auf das Sysdig-API-Token gesetzt werden muss. Das Token ist auf der Benutzerprofilseite der Sysdig-Instanz sichtbar.

Optionale Sysdig-Scanparameter

Tabelle 2. Optionale Sysdig-Scanparameter
Parametername Standardwert Beschreibung
sysdig-url https://us-south.security-compliance-secure.cloud.ibm.com (Eigenschaft ist nicht festgelegt) Die URL der Sysdig-Instanz, die für den Scan verwendet werden soll Dieser Wert muss angegeben werden, wenn eine andere Sysdig-Instanz verwendet wird.
cr-ibmcloud-api-key Überschreibungen ibmcloud-api-key, falls angegeben, zum Extrahieren des Image aus der Container-Registry für den Sysdig-Scan
sysdig-policies Durch Kommas getrennte Werte der sysdig-Richtlinien-ID. Sie finden die Richtlinienkennung im Abschnitt How to scan Images with this policy (suchen Sie nach dem Namen nach dem Tag --policy )

Die verschiedenen sysdig-url-Werte, die bei Verwendung des IBM Cloud Workload Protection-Service verwendet werden sollen, finden Sie hier. Es können auch externe sichere Sysdig-Instanzen wie https://secure.sysdig.com verwendet werden. Es muss ein entsprechender sysdig-url-Wert angegeben werden.

Angaben und Anhänge

Die erstellten Angaben basieren auf den Werten in Tabelle 3. Die DevSecOps-Pipeline lädt Angaben in den Spind hoch und schließt die Angaben in die Angabenzusammenfassung für Änderungsanforderungen ein.

Tabelle 3. Angabenfelder und -werte
Feld Wert
Typ des Tools sysdig
Angabentyp com.ibm.code_vulnerability_scan
Assettyp artifact
Anhänge scan report generated by the sysdig cli scanner in JSON
Anhänge processed scan report containing an array of vulnerabilities filtering out the ignored vulnerailities - in JSON

Debugging und Protokollierung

Tabelle 4. Debugparameter
Parametername Standardwert Beschreibung
pipeline-debug 0 Debug-Flag 0 off; 1 on

Auf Scanergebnisse zugreifen

Sie können auf Ihre Scanergebnisse mit einer der folgenden Methoden zugreifen:

  • Sie werden im Sysdig-Dashboard angezeigt Öffnen Sie das sichere Sysdig-Dashboard und suchen Sie nach dem gerade in Image Results gescannten Bild.
  • Verwenden Sie die DevSecOps-CLI, um Ihre Scanergebnisse aus dem Angabenschließfach mithilfe der Informationen herunterzuladen, die im Phasenprotokoll ausgegeben werden. Weitere Informationen können Sie über die folgenden Links aufrufen: