Ejecutar análisis en modo SBOM
Kaspersky Container Security le permite iniciar Scanner para verificar las imágenes en busca de vulnerabilidades en el modo
. En este caso, la solución analiza el archivo SBOM creado en lugar del archivo comprimido TAR.Usar una SBOM plantea las siguientes ventajas:
- Menos recursos necesarios para analizar imágenes en busca de vulnerabilidades
- Menor tiempo de análisis debido a la verificación automática del funcionamiento y el uso correctos de los componentes de la solución
- Capacidad de análisis de todas las vulnerabilidades existentes en una imagen sin excepciones
- Alta fiabilidad en los resultados de los análisis
En CI/CD, el proceso de análisis comprende dos etapas: la recepción de un archivo SBOM y el análisis de una imagen sobre la base del archivo SBOM recibido. El análisis de las imágenes se realiza de la siguiente manera:
- Durante el análisis de CI/CD se genera la lista de los componentes de la imagen y se envía el artefacto generado a Kaspersky Container Security.
- Con el controlador de la imagen, la solución reenvía el archivo SBOM recibido para su análisis.
Para analizar en el modo SBOM, Kaspersky Container Security inicia un análisis con bases de datos preinstaladas que contienen información sobre vulnerabilidades y otros objetos maliciosos (
scanner:v2.0-with-db
,scanner:v2.0-with-db-java
).
Para analizar imágenes en CI/CD, debe especificar los valores de las siguientes variables de entorno en el archivo:
API_TOKEN
: valor del token de la API de Kaspersky Container SecurityAPI_BASE_URL
: URL de Kaspersky Container SecurityAPI_CA_CERT
: datos del certificado de CA del controlador de entrada que permite al componente Scanner ejecutado en CI/CD verificar la autenticidad del servidor de recepción de datos. Si utiliza un certificado autofirmado o desea omitir la verificación del servidor de recepción de datos con el certificado de CA del controlador de entrada, debe proporcionar el valor de la variable para omitir la verificación:SKIP_API_SERVER_VALIDATION: 'true'
COMPANY_EXT_REGISTRY_USERNAME
: determine el nombre de la cuenta del registro de la imagen analizada.COMPANY_EXT_REGISTRY_PASSWORD
: determine la contraseña del registro de la imagen analizada.COMPANY_EXT_REGISTRY_TLS_CERT
: determine los datos del certificado para establecer una conexión segura con el registro.Los datos del certificado se declaran como una cadena en el formato .PEM:
-----BEGIN CERTIFICATE-----\n... <
datos del certificado
> ...\n-----END CERTIFICATE-----
.HTTP_PROXY
: servidor proxy para solicitudes HTTPHTTPS_PROXY
: servidor proxy para solicitudes HTTPSNO_PROXY
: dominios o máscaras de dominio adecuadas que se excluirán del redireccionamiento
Para los siguientes análisis, Kaspersky Container Security generará un informe en el formato CycloneDX. También puede generar un artefacto con la SBOM para descargarlo desde el proceso de CI/CD en los formatos
o .Para generar un archivo SBOM con formato .SPDX cuando Scanner opera en la creación de la SBOM:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --spdx --stdout > example.spdx
donde:
<--sbom>
indica la creación de un archivo SBOM.
<--spdx>
indica que el artefacto se genera con el formato .SPDX.
<--stdout > example.spdx>
indica la salida de los datos a un archivo con el formato .SPDX.
Para generar un archivo SBOM con formato .CDX cuando Scanner opera en la creación de la SBOM:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --cdx --stdout > example.cdx.json
donde:
<--sbom>
indica la creación de un archivo SBOM.
<--cdx>
indica que el artefacto se genera con el formato .CDX.
<--stdout > example.cdx.json>
indica la salida de los datos a un archivo con el formato .JSON.
El archivo resultante (por ejemplo, example.cdx.json) se especifica como un artefacto artifacts: paths:
El análisis con un archivo SBOM solo es posible al analizar imágenes en busca de vulnerabilidades. Si el proceso de CI/CD exige analizar en busca de otros riesgos y amenazas (como configuraciones incorrectas), debe ejecutar el análisis correspondiente de forma independiente y añadir los resultados al controlador de la imagen junto al archivo SBOM.