配置 Sysdig 图像扫描

要扫描 icr.io 中的容器映像并报告这些映像中存在的漏洞，可以使用 Sysdig CLI 扫描程序。此扫描作为 CI 和 CC 管道的扫描工件阶段的一部分运行。此扫描针对您使用save_工件方法保存到管道的 icr.io 中的每个容器映像运行。有关更多信息，请参阅 save_工件。

save_工件需要以下键才能使用 sysdig 扫描程序扫描每个映像:

Sysdig脚本DevSecOps运行Sysdig cli扫描程序，并根据扫描结果收集证据。 Sysdig CLI扫描程序使用输出模式 v1，然后应用工作负载保护实例中启用的默认策略。它还考虑了工作负载保护实例中的 Accepted Risk 漏洞。

Sysdig CLI 扫描程序会针对保存的工件 list_artifacts 方法中的每个图像运行扫描。有关更多信息，请参阅 list_工件。此扫描作为 CI 和 CC 管道的扫描工件阶段的一部分运行。

脚本在图像上运行Sysdig cli扫描程序，并将结果上传到给定的 URL。

如果在 Sysdig 仪表板中创建了任何具有 始终应用 开关的策略，那么将仅针对使这些策略失败的漏洞创建问题。还可以使用 sysdig-policies 变量根据指定的策略来评估结果，但无论如何评估结果，都将使用具有“始终应用”的策略。

要在 IBM Cloud®中创建 IBM Cloud® Security and Compliance Center Workload Protection 的实例，请参阅供应 Workload Protection 的实例。

必需的 Sysdig 扫描参数

所需的 Sysdig 扫描参数
参数名称	描述
`sysdig-scan`	将此参数设置为枚举值 0 或 1。如果该值设置为 1，那么将调用 sysdig 扫描。
`sysdig-api-token`	将此参数设置为需要设置为 Sysdig API 令牌的私钥值。该令牌可从 Sysdig 实例的“用户概要文件”页面中查看。

可选的 Sysdig 扫描参数
参数名称	缺省值	描述
`sysdig-url`	`https://us-south.security-compliance-secure.cloud.ibm.com` (属性未设置)	用于扫描的 Sysdig 实例的 URL。如果正在使用任何其他 Sysdig 实例，那么需要提供此值。
`cr-ibmcloud-api-key`		覆盖 `ibmcloud-api-key` (如果提供)，用于从容器注册表中拉取映像以进行 Sysdig 扫描。
`sysdig-policies`		以逗号分隔的 sysdig 策略标识值。您可以在 `How to scan Images with this policy` 部分下找到策略标识 (在 `--policy` 标记后查找名称)

此处提供了使用 IBM Cloud Workload Protection 服务时要使用的各种 sysdig-url 值。还可以使用外部 Sysdig 安全实例，例如 https://secure.sysdig.com。需要提供相应的 sysdig-url 值。

创建的证据基于表 3 中的值。 DevSecOps管道会将证据上传到储物柜，并将证据纳入变更请求的证据摘要中。

证据字段和值
字段	值
工具类型	`sysdig`
证据类型	`com.ibm.code_vulnerability_scan`
资产类型	`artifact`
attachments	`scan report generated by the sysdig cli scanner in JSON`
attachments	`processed scan report containing an array of vulnerabilities filtering out the ignored vulnerailities - in JSON`

调试参数
参数名称	缺省值	描述
pipeline-debug	0	调试标志 0 off; 1 on

您可以使用下列任何方法来访问扫描结果:

在 Sysdig 仪表板上查看这些内容。打开 Sysdig 安全仪表板，并在 Image Results 中查找刚刚扫描的图像。
使用 DevSecOpsCLI，利用阶段日志中打印的信息从证据保管箱下载扫描结果。有关更多信息，请参阅以下资源：
- cocoa locker evidence get
- cocoa locker attachment get