IBM Cloud Vulnerability Advisor ・スキャンの構成
icr.io でコンテナー・イメージをスキャンし、それらのイメージに存在する脆弱性についてレポートするには、 IBM Cloud Vulnerability Advisorを使用できます。 このスキャンは、CI および CC パイプラインのスキャン成果物ステージの一部として実行されます。 このスキャンは、save_artifact メソッドを使用してパイプラインに保存した icr.io の コンテナー・イメージ ごとに実行されます。 詳しくは、 save_artifact を参照してください。
save_artifact が IBM Cloud Vulnerability Advisorを使用して各イメージをスキャンするには、以下のキーが必要です。
type: イメージに設定する必要がありますname: コンテナー・イメージの完全修飾名。 例えば、Docker をプルするために使用される名前などです。digest: コンテナー・イメージの sha256 ダイジェスト
IBM Cloud Vulnerability Advisor は、 IBMによって提供されるコンテナー・イメージ、サード・パーティーによって提供されるコンテナー・イメージ、または組織のレジストリー名前空間に追加されたコンテナー・イメージのセキュリティー状況を検査します。 DevSecOps CI/CC パイプラインは、 IBM Cloud VA スキャンを使用して、パイプライン内で生成およびスキャンされた Docker コンテナー・イメージ内の脆弱性を検出します。
IBM X-Force からの脆弱性の重大度の取得
IBM Cloud Vulnerability Advisor は、検出された脆弱性の重大度評価を提供しません。 これにより、 DevSecOps CI パイプラインが、 Vulnerability Advisorによって検出されたすべての CVE にデフォルトの HIGH レーティングを割り当てます。
脆弱性の正確な重大度レーティングを取得するために、パイプラインは IBM X-Force を使用できます。 この機能をアクティブ化するには、 IBM X-Force のアカウントと資格情報を取得する必要があります。 詳しくは、 IBM X-Force Exchange API を参照してください。
必要な資格情報がある場合は、以下の環境変数を CI および CC パイプラインに追加して、脆弱性評価を受け取ります。
| 名前 | タイプ | 説明 |
|---|---|---|
xforce-url |
TEXT | 脆弱性評価を取得するために使用される、 IBM X-Force の API URL 。 例: https://api.xforce.ibmcloud.com/vulnerabilities/ |
xforce-api-key |
SECRET | X-Force API キー。 |
xforce-password |
SECRET | X-Force パスワード。 |