卡巴斯基容器安全

在 SBOM 模式下运行扫描器

卡巴斯基容器安全可在

使用 SBOM 的优势如下：

• 扫描镜像是否存在漏洞所需的资源更少。
• 由于正确操作的自动验证和解决方案组件的正确使用，减少了扫描时间。
• 能够扫描镜像中的所有现有漏洞，无一例外。
• 扫描结果可靠性高。

在 CI/CD 中，扫描过程包括两个阶段：接收 SBOM 文件和根据收到的 SBOM 文件扫描镜像。镜像扫描过程实现如下：

• CI/CD 扫描器生成镜像组件列表，并将生成的构件发送到卡巴斯基容器安全。
• 使用镜像处理程序，解决方案将收到的 SBOM 文件转发到扫描器进行扫描。

对于后续扫描，卡巴斯基容器安全会生成

要在扫描器执行 SBOM 创建时生成 .SPDX 格式的 SBOM 文件：

在 .gitlab-ci.yml 配置文件中输入以下命令：

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --spdx --stdout > example.spdx

其中：

<--sbom-json> 指示创建 SBOM 文件。

<--spdx> 指示以 .SPDX 格式生成构件。

<--stdout > example.spdx> 指示数据输出到 .SPDX 格式的文件。

要在扫描器执行 SBOM 创建时生成 .JSON 格式的 SBOM 文件：

在 .gitlab-ci.yml 配置文件中输入以下命令：

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --stdout > example.json

其中：

<--sbom-json> 指示创建 SBOM 文件。

<--stdout > example.json>指示数据输出到 .JSON 格式的文件。

生成的文件（例如 example.json）被指定为构件：artifacts: paths:

使用 SBOM 文件进行扫描仅适用于扫描镜像是否存在漏洞的情况。如果您的 CI/CD 过程需要扫描其他风险和威胁（例如错误配置），则除了 SBOM 文件之外，还必须单独运行相应的扫描并将其结果添加到镜像处理程序中。