Kaspersky Security для контейнеров

Указание секретов при запуске сканирования

При запуске задания на сканирование в процессе CI/CD реестр, в котором находится образ сканера (сканер lite или сканер with-db для соответствующей версии Kaspersky Security для контейнеров), может быть доступен только после авторизации. Вы можете пройти авторизацию, указав требуемые секреты в задании на сканирование.

Чтобы пройти авторизацию для доступа в реестр при запуске задания на сканирование:

  1. Создайте секрет, выполнив следующую команду:

    kubectl create secret docker-registry ci-creds --docker-server=client.repo.example.com --docker-username=username --docker-password=password

  2. В задании на сканирование укажите значение переменной imagePullSecrets следующим образом:

    imagePullSecrets:

    - name: ci-creds

  3. Запустите задание на сканирование.

    Пример задания на сканирование с указанием секретов для авторизации

    kind: Job

    metadata:

    name: my-job

    spec:

    template:

    spec:

    containers:

    - name: my-container

    image: client.repo.example.com/scanner:master

    command: ["/bin/sh"]

    args: ["entrypoint.sh", "apline:latest"]

    env:

    - name: COMPANY_EXT_REGISTRY_USERNAME

    value: another_username

    - name: COMPANY_EXT_REGISTRY_PASSWORD

    value: another_password

    - name: API_BASE_URL

    value: https://some.kcs.env.example

    - name: API_TOKEN

    value: kcs_blablabla

    - name: SKIP_API_SERVER_VALIDATION

    value: 'true'

    imagePullPolicy: Always

    restartPolicy: Never

    imagePullSecrets:

    - name: ci-creds

    backoffLimit: 0

В приведенном примере задание на сканирование содержит следующие секреты:

  • Секрет для скачивания образа сканера (указан в переменной imagePullSecrets).
  • Пароль для скачивания образа для проверки с помощью сканера, если доступ к соответствующему реестру ограничен (указан в переменной COMPANY_EXT_REGISTRY_PASSWORD).

Вы можете не указывать эти пароли, если реестр, к которому обращается решение при выполнении задания на сканирование, доступен без авторизации.

В начало
[Topic 281598]