DevSecOps パイプラインによって使用されるイメージ

DevSecOps Continuous Integration (CI)、Continuous Deployment (CD)、および Continuous Compliance (CC) の各パイプラインは、さまざまなツールの Docker イメージを使用して、パイプライン実行内でスキャンを実行します。イメージは、グローバル IBM Container Registry (ICR) で使用可能であり、パイプラインの実行中にプルされて実行されます。

DevSecOps ベース・イメージ-コンプライアンス・パイプラインを実行するために使用されます。このイメージは、パイプライン内のすべてのステージを実行し、さまざまなスキャンをトリガーし、エビデンスを収集し、問題を作成します。
OWASP ZAP API スキャナー-デプロイされたアプリケーションの API エンドポイントに対して OWASP ZAP API スキャンを起動して脆弱性を検出するために使用されます。
OWASP ZAP UI Scanner-UI によって公開された脆弱性を検出するために、デプロイされたアプリケーションの URL に対して OWASP ZAP UI スキャンをトリガーするために使用されます。
OWASP ZAP UI プロキシー-デプロイされたアプリケーションに対して ZAP UI スキャンをトリガーするプロキシー・サービスとして OWASP ZAP UI スキャン・イメージとともに使用します。
シークレットの検出-アプリケーション・ソース・コードによって公開されるパスワードやシークレット・キーなどのシークレットを検出するために使用されます。
Docker In Docker (DinD)-別の Docker コンテナー内で Docker コンテナーを実行するために使用されます。 DinD は、 DevSecOps Baseimage 内のツールに属するさまざまなイメージを実行します。
Sonarqube-脆弱性を検出するためにアプリケーション・ソース・コードに対して静的スキャンを実行するために使用されます。
Sonarqube Scanner CLI- SonarQube スキャンをトリガーするコマンド・ライン・ユーティリティー。

表 1. DevSecOps イメージ
ツール・タイプ	IBM Cloud Container Registry リポジトリー	最新バージョン	脆弱性の状況
基本イメージ	icr.io/continuous-delivery/toolchains/devsecops/baseimage	2.108.7_commons-0.51.1	脆弱
DevSec操作の基本イメージ	icr.io/continuous-delivery/toolchains/devsecops/devsecops-baseimage	2.108.7_commons-0.51.1	脆弱
OWASP ZAP API スキャナー	icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-api-scanner	02-02-2024-10-17	脆弱
OWASP ZAP UI スキャナー	icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-ui-scanner	23-01-2024-07-29	脆弱
OWASP ZAP UI プロキシー	icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-ui-proxy	14-12-2023-18-37	脆弱
シークレットの検出	icr.io/git-defenders/detect-secrets	0.13.1.ibm.61.dss-redhat-ubi	脆弱
Docker: Docker	icr.io/continuous-delivery/base-images/multiarch-dind	20231109-0005	脆弱
SonarQube	icr.io/continuous-delivery/toolchains/devsecops/sonarqube	10.0.0-community	脆弱
SonarQube スキャナー CLI	icr.io/continuous-delivery/toolchains/devsecops/sonar-scanner-cli	4.8	脆弱