Images utilisées par les pipelines DevSecOps
Les pipelines DevSecOps Continuous Integration (CI), Continuous Deployment (CD) et Continuous Compliance (CC) utilisent des images Docker pour différents outils afin d'exécuter les analyses dans les exécutions de pipeline. Les images sont disponibles dans le registre global IBM Container Registry (ICR) et sont extraites et exécutées lors des exécutions de pipeline.
- DevSecOps Baseimage-Utilisé pour exécuter les pipelines de conformité. Cette image exécute toutes les étapes dans les pipelines, déclenchant différentes analyses, collectant des informations collectées et créant des problèmes.
- Scanner d'API OWASP ZAP-Utilisé pour déclencher des analyses d'API OWASP ZAP sur les noeuds finaux d'API d'une application déployée pour détecter les vulnérabilités.
- Scanner d'interface utilisateur OWASP ZAP-Utilisé pour déclencher des examens d'interface utilisateur OWASP ZAP sur l' URL d'une application déployée pour détecter les vulnérabilités exposées par l'interface utilisateur.
- Proxy d'interface utilisateur ZAP OWASP-Utilisé avec l'image d'analyse d'interface utilisateur ZAP OWASP en tant que service proxy pour déclencher des analyses d'interface utilisateur ZAP sur une application déployée.
- Détection des secrets-Permet de détecter des secrets tels que des mots de passe ou des clés secrètes qui sont exposés par le code source de l'application.
- Docker Dans Docker (DinD)-Utilisé pour exécuter un conteneur Docker dans un autre conteneur Docker. DinD exécute diverses images qui appartiennent à des outils dans l'image de base des opérations DevSec.
- Sonarqube-Utilisé pour exécuter un examen statique sur le code source de l'application afin de détecter les vulnérabilités.
- Interface de ligne de commande Sonarqube Scanner-Utilitaire de ligne de commande pour déclencher des analyses SonarQube.
| Type d'outil | Référentiel IBM Cloud Container Registry | Version la plus récente | Statut de vulnérabilité | Description de la vulnérabilité |
|---|---|---|---|---|
| Image de base | icr.io/continuous-delivery/toolchains/devsecops/baseimage | 2.108.7_commons-0.51.1 | Vulnérable | |
| DevSecOps Baseimage | icr.io/continuous-delivery/toolchains/devsecops/devsecops-baseimage | 2.108.7_commons-0.51.1 | Vulnérable | |
| Scanner d'API OWASP ZAP | icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-api-scanner | 02-02-2024-10-17 | Vulnérable | |
| Scanner d'interface utilisateur OWASP ZAP | icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-ui-scanner | 29-01-2024-07-29 | Vulnérable | |
| Proxy d'interface utilisateur ZAP OWASP | icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-ui-proxy | 14-12-2023-18-37 | Vulnérable | |
| Détection de secrets | icr.io/git-defenders/detect-secrets | 0.13.1.ibm.61.dss-redhat-ubi | Vulnérable | |
| Docker Dans Docker | icr.io/continuous-delivery/base-images/multiarch-dind | 20231109 à 0005 | Vulnérable | |
| SonarQube | icr.io/continuous-delivery/toolchains/devsecops/sonarqube | 10.0.0-community | Vulnérable | |
| Interface de ligne de commande du scanner SonarQube | icr.io/continuous-delivery/toolchains/devsecops/sonar-scanner-cli | 4.8 | Vulnérable |