Imagens usadas pelos pipelines de DevSecOps

Os pipelines de Integração Contínua (CI), Implantação Contínua (CD) e Conformidade Contínua (CC) DevSecOps usam imagens Docker para diferentes ferramentas para executar as varreduras dentro das execuções do pipeline. As imagens estão disponíveis no Global IBM Container Registry (ICR) e são puxadas e executadas durante a execução do pipeline.

1. DevSecOps Baseimage - Usado para executar os pipelines de conformidade. Esta imagem executa todos os estágios dentro dos gasodutos, acionando varreduras diferentes, coletando provas e criando questões.
2. Scanner API do OWASP ZAP-Usado para acionar varreduras da API do OWASP ZAP contra os terminais de API de um aplicativo implementado para detectar vulnerabilidades.
3. OWASP ZAP UI Scanner - usado para acionar varreduras OWASP ZAP UI no site URL de um aplicativo implantado para detectar vulnerabilidades expostas pela UI.
4. Proxy de UI OWASP ZAP-Usado com a imagem de varredura da OWASP ZAP UI como um serviço de proxy para acionar varreduras de UI ZAP contra um aplicativo implementado.
5. Detectar Segredos-Usados para detectar segredos como senhas ou chaves secretas que são expostas pelo código-fonte do aplicativo.
6. Docker Em Docker (DinD)-Utilizado para executar um contêiner de docker dentro de outro container docker. DinD executa várias imagens que pertencem a ferramentas dentro da Baseimage DevSecOps.
7. Sonarqube-Utilizado para executar varredura estática contra o código-fonte do aplicativo para detectar vulnerabilidades.
8. Sonarqube Scanner CLI-utilitário de linha de comando para acionar as scans SonarQube.