Configuration des analyses d'image Sysdig
Pour analyser des images de conteneur dans icr.io et signaler les vulnérabilités présentes dans ces images, vous pouvez utiliser le scanner d'interface de ligne de commande Sysdig. Cette analyse est exécutée dans le cadre de l'étape
scan-artefact des pipelines d'EC et de CC. Cette analyse s'exécute pour chaque image de conteneur dans icr.io que vous avez sauvegardée
dans le pipeline à l'aide de la méthode save_Artifact. Pour plus d'informations, voir save_Artifact.
Les clés suivantes sont requises pour que save_Artifact puisse analyser chaque image avec le scanner sysdig:
type: doit être défini sur l'imagename: nom qualifié complet de l'image de conteneur. Par exemple, les noms utilisés pour extraire le docker.digest: synthèse (digest) sha256 de l'image de conteneur
Le script Sysdig exécute le scanner Sysdig cli dans votre pipeline DevSecOps et recueille des preuves basées sur les résultats du scan. L'analyseur CLI Sysdig utilise le schéma de sortie v1 et applique ensuite les stratégies par défaut
activées dans l'instance de protection de la charge de travail. Il prend également en compte les vulnérabilités du site Accepted Risk au sein de l'instance de protection de la charge de travail.
L'analyse de l'interface de ligne de commande Sysdig s'exécute pour chaque image dans la méthode list_artifacts des artefacts sauvegardés. Pour plus d'informations, voir list_artefacts.
Cette analyse est exécutée dans le cadre de l'étape scan-artefact des pipelines d'EC et de CC.
Le script exécute le scanner d'images Sysdig cli sur l'image et télécharge les résultats vers l'instance Sysdig URL donnée.
Si des stratégies sont créées dans le tableau de bord Sysdig avec le Toujours postuler activez cette option, les problèmes ne seront créés que pour les vulnérabilités qui échouent à ces politiques. Le sysdig-policies La variable peut également être utilisée pour évaluer les résultats en fonction des politiques spécifiées, mais les politiques avec « toujours appliquer » seront utilisées indépendamment pour évaluer les résultats.
Pour créer une instance de IBM Cloud® Security and Compliance Center Workload Protection dans IBM Cloud®, voir Mise à disposition d'une instance de Workload Protection.
Paramètres d'analyse Sysdig requis
| Nom du paramètre | Description |
|---|---|
sysdig-scan |
Définissez ce paramètre sur une valeur Enum 0 ou 1. Si la valeur est définie sur 1, l'analyse sysdig est appelée. |
sysdig-api-token |
Définissez ce paramètre sur une valeur confidentielle qui doit être définie sur le jeton d'API Sysdig. Le jeton est visible à partir de la page Profil utilisateur de l'instance Sysdig. |
Paramètres d'analyse Sysdig facultatifs
| Nom de paramètre | Valeur par défaut | Description |
|---|---|---|
sysdig-url https://us-south.security-compliance-secure.cloud.ibm.com |
L' URL de l'instance Sysdig à utiliser pour l'analyse. Cette valeur doit être fournie si une autre instance Sysdig est utilisée. | |
cr-ibmcloud-api-key |
Remplace ibmcloud-api-key, le cas échéant, pour extraire l'image du registre de conteneur pour l'analyse Sysdig. |
|
sysdig-policies |
Valeurs séparées par des virgules de l'identifiant des politiques sysdig. Vous pouvez trouver l'identifiant de la politique dans la section How to scan Images with this policy (cherchez le nom après --policy étiquette) |
Les différentes valeurs sysdig-url à utiliser lors de l'utilisation du serviceIBM Cloud Workload Protection sont fournies ici.
Des instances sécurisées Sysdig externes peuvent également être utilisées, telles que https://secure.sysdig.com. Une valeur sysdig-url appropriée doit être fournie.
Informations collectées et pièces jointes
Les informations collectées créées sont basées sur les valeurs du tableau 3. Le pipeline DevSecOps télécharge les preuves dans le casier et les inclut dans le résumé des preuves pour les demandes de changement.
| Zone | Valeur |
|---|---|
| Type d'outil | sysdig |
| type d'informations collectées | com.ibm.code_vulnerability_scan |
| type d'actif | artifact |
| pièces jointes | scan report generated by the sysdig cli scanner in JSON |
| pièces jointes | processed scan report containing an array of vulnerabilities filtering out the ignored vulnerailities - in JSON |
Débogage et journalisation
| Nom de paramètre | Valeur par défaut | Description |
|---|---|---|
| pipeline-debug | 0 | Indicateur de débogage 0 désactivé ; 1 activé |
Accès aux résultats de l'analyse
Vous pouvez accéder à vos résultats d'analyse à l'aide de l'une des méthodes suivantes:
- Affichage sur le tableau de bord Sysdig. Ouvrez le tableau de bord Sysdig Secure et recherchez l'image qui vient d'être numérisée dans
Image Results. - Utiliser l'interface de commandeDevSecOps pour télécharger les résultats de l'analyse à partir de l'armoire à preuves en utilisant les informations imprimées dans le journal d'étape. Pour plus d'informations, voir les ressources suivantes :