IBM Cloud Docs
Configuration des analyses d'image Sysdig

Configuration des analyses d'image Sysdig

Pour analyser des images de conteneur dans icr.io et signaler les vulnérabilités présentes dans ces images, vous pouvez utiliser le scanner d'interface de ligne de commande Sysdig. Cette analyse est exécutée dans le cadre de l'étape scan-artefact des pipelines d'EC et de CC. Cette analyse s'exécute pour chaque image de conteneur dans icr.io que vous avez sauvegardée dans le pipeline à l'aide de la méthode save_Artifact. Pour plus d'informations, voir save_Artifact.

Les clés suivantes sont requises pour que save_Artifact puisse analyser chaque image avec le scanner sysdig:

  • type: doit être défini sur l'image
  • name: nom qualifié complet de l'image de conteneur. Par exemple, les noms utilisés pour extraire le docker.
  • digest: synthèse (digest) sha256 de l'image de conteneur

Le script Sysdig exécute le scanner d'interface de ligne de commande Sysdig dans votre pipeline DevSecOps et collecte des informations collectées basées sur les résultats d'analyse.

L'analyse de l'interface de ligne de commande Sysdig s'exécute pour chaque image dans la méthode list_artifacts des artefacts sauvegardés. Pour plus d'informations, voir list_artefacts. Cette analyse est exécutée dans le cadre de l'étape scan-artefact des pipelines d'EC et de CC.

Le script exécute l'analyse d'image du scanner d'interface de ligne de commande Sysdig sur l'image et télécharge les résultats sur l'instance d'URL Sysdig donnée.

Si des stratégies sont créées dans le tableau de bord Sysdig avec le Toujours postuler activez cette option, les problèmes ne seront créés que pour les vulnérabilités qui échouent à ces politiques. Le sysdig-policies La variable peut également être utilisée pour évaluer les résultats en fonction des politiques spécifiées, mais les politiques avec « toujours appliquer » seront utilisées indépendamment pour évaluer les résultats.

Pour créer une instance de IBM Cloud® Security and Compliance Center Workload Protection dans IBM Cloud®, voir Mise à disposition d'une instance de Workload Protection.

Paramètres d'analyse Sysdig requis

Tableau 1. Paramètres d'analyse Sysdig requis
Nom du paramètre Description
sysdig-scan Définissez ce paramètre sur une valeur Enum 0 ou 1. Si la valeur est définie sur 1, l'analyse sysdig est appelée.
sysdig-api-token Définissez ce paramètre sur une valeur confidentielle qui doit être définie sur le jeton d'API Sysdig. Le jeton est visible à partir de la page Profil utilisateur de l'instance Sysdig.

Paramètres d'analyse Sysdig facultatifs

Tableau 2. Paramètres d'analyse Sysdig facultatifs
Nom de paramètre Valeur par défaut Description
sysdig-url https://us-south.security-compliance-secure.cloud.ibm.com (la propriété n'est pas définie) URL de l'instance Sysdig à utiliser pour l'examen. Cette valeur doit être fournie si une autre instance Sysdig est utilisée.
cr-ibmcloud-api-key Remplace ibmcloud-api-key, le cas échéant, pour extraire l'image du registre de conteneur pour l'analyse Sysdig.
sysdig-policies Valeurs séparées par des virgules de l'identifiant des politiques sysdig. Vous pouvez trouver l'identifiant de la politique dans la section How to scan Images with this policy (cherchez le nom après --policy étiquette)

Les différentes valeurs sysdig-url à utiliser lors de l'utilisation du serviceIBM Cloud Workload Protection sont fournies ici. Des instances sécurisées Sysdig externes peuvent également être utilisées, telles que https://secure.sysdig.com. Une valeur sysdig-url appropriée doit être fournie.

Informations collectées et pièces jointes

Les informations collectées créées sont basées sur les valeurs du tableau 3. Le pipeline DevSecOps télécharge les informations collectées dans le casier et les inclut dans le récapitulatif des informations collectées pour les demandes de changement.

Tableau 3. Zones et valeurs d'informations collectées
Zone Valeur
Type d'outil sysdig
type d'informations collectées com.ibm.code_vulnerability_scan
type d'actif artifact
pièces jointes scan report generated by the sysdig cli scanner in JSON
pièces jointes processed scan report containing an array of vulnerabilities filtering out the ignored vulnerailities - in JSON

Débogage et journalisation

Tableau 4. Paramètres de débogage
Nom de paramètre Valeur par défaut Description
pipeline-debug 0 Indicateur de débogage 0 désactivé ; 1 activé

Accès aux résultats de l'analyse

Vous pouvez accéder à vos résultats d'analyse à l'aide de l'une des méthodes suivantes:

  • Affichage sur le tableau de bord Sysdig. Ouvrez le tableau de bord Sysdig Secure et recherchez l'image qui vient d'être numérisée dans Image Results.
  • Utilisez l'interface de ligne de commandeDevSecOps pour télécharger vos résultats d'analyse à partir du casier d'informations collectées à l'aide des informations figurant dans le journal d'étape. Pour plus d'informations, voir les ressources suivantes :