DevSecOps 管道使用的映像
DevSecOps Continuous Integration (CI),Continuous Deployment (CD) 和 Continuous Compliance (CC) 管道使用不同工具的 Docker 映像在管道运行中运行扫描。 这些映像在全局 IBM Container Registry (ICR) 中可用,并在管道运行期间进行拉取和运行。
- DevSecOps Baseimage-用于运行合规性管道。 此图像运行管道中的所有阶段,触发不同的扫描,收集证据和创建问题。
- OWASP ZAP API 扫描程序-用于针对已部署应用程序的 API 端点触发 OWASP ZAP API 扫描以检测漏洞。
- OWASP ZAP UI 扫描程序-用于针对已部署应用程序的 URL 触发 OWASP ZAP UI 扫描,以检测 UI 公开的漏洞。
- OWASP ZAP UI 代理-与 OWASP ZAP UI 扫描映像一起用作代理服务,以针对已部署的应用程序触发 ZAP UI 扫描。
- 检测私钥-用于检测由应用程序源代码公开的密码或私钥之类的私钥。
- Docker In Docker (DinD)-用于在另一个 Docker 容器中运行 Docker 容器。 DinD 运行属于 DevSecOps Baseimage 中的工具的各种映像。
- Sonarqub-用于针对应用程序源代码运行静态扫描以检测漏洞。
- Sonarqube 扫描程序 CLI-用于触发 SonarQube 扫描的命令行实用程序。
| 工具类型 | IBM Cloud Container Registry 存储库 | 最新版本 | 漏洞状态 | 漏洞描述 |
|---|---|---|---|---|
| 基本映像 | icr.io/continuous-delivery/toolchains/devsecops/baseimage | 2.108.7_commons-0.51.1 | 容易受到攻击 | |
| DevSec操作基本映像 | icr.io/continuous-delivery/toolchains/devsecops/devsecops-baseimage | 2.108.7_commons-0.51.1 | 容易受到攻击 | |
| OWASP ZAP API 扫描程序 | icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-api-scanner | 02-02-2024-10-17 | 容易受到攻击 | |
| OWASP ZAP UI 扫描程序 | icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-ui-scanner | 23-01-2024-07-29 | 容易受到攻击 | |
| OWASP ZAP UI 代理 | icr.io/continuous-delivery/toolchains/devsecops/owasp-zap-ui-proxy | 14-12-2023-18-37 | 容易受到攻击 | |
| 检测私钥 | icr.io/git-defenders/detect-secrets | 0.13.1.ibm.61.dss-redhat-ubi | 容易受到攻击 | |
| Docker 在 Docker 中 | icr.io/continuous-delivery/base-images/multiarch-dind | 20231109-0005 | 容易受到攻击 | |
| SonarQube | icr.io/continuous-delivery/toolchains/devsecops/sonarqube | 10.0.0-community | 容易受到攻击 | |
| SonarQube 扫描程序 CLI | icr.io/continuous-delivery/toolchains/devsecops/sonar-scanner-cli | 4.8 | 容易受到攻击 |