CircleCI

Scannen Sie nach Schwachstellen in der CircleCI-Build-Pipeline.

Der SUSE® Security CircleCI ORB löst einen Schwachstellenscan an einem Image in der CircleCI-Pipeline aus. Der ORB ist im CircleCI-Katalog verfügbar und ist auch auf der SUSE® Security GitHub-Seite dokumentiert.

Stellen Sie den SUSE® Security Allinone- oder Controller-Container bereit, falls Sie dies noch nicht auf einem vom CircleCI ORB erreichbaren Host getan haben. Notieren Sie die IP-Adresse des Hosts, auf dem der Allinone oder Controller läuft.

Der ORB unterstützt zwei Anwendungsfälle:

  1. Auslösen des Scans, der außerhalb der CircleCI-Infrastruktur durchgeführt werden soll. Der ORB kontaktiert den SUSE® Security Scanner, der dann das Image aus einer Registry zieht, um es zu scannen. Stellen Sie sicher, dass der ORB Netzwerkverbindung zu dem Host hat, auf dem der SUSE® Security Controller/Allinone läuft.

  2. Dynamisches Starten eines SUSE® Security Controllers und Scanners auf einer temporären VM, die auf der CircleCI-Plattform läuft. Nach dem Starten und der automatischen Konfiguration wird der Scan auf dem Image im Build durchgeführt, und nach Abschluss wird die SUSE® Security Implementierung beendet und entfernt. Für diesen Anwendungsfall siehe die Dokumentation zum CircleCI ORB für SUSE® Security.

Stellen Sie außerdem sicher, dass ein SUSE® Security Scanner-Container bereitgestellt und konfiguriert ist, um sich mit dem Allinone oder Controller zu verbinden. In 4.0 und später muss der neuvector/scanner-Container getrennt vom Allinone oder Controller bereitgestellt werden.

Erstellen Sie einen Kontext in Ihrer CircleCI-App

context

Einstellungen konfigurieren

Konfigurieren Sie die Umgebungsvariablen für die Verbindung und Authentifizierung

Einstellungen

Fügen Sie den SUSE® Security Orb zu Ihrer Build config.yaml hinzu

version: 2.1
orbs:
  neuvector: neuvector/neuvector-orb@1.0.0
workflows:
  scan-image:
    jobs:
      - neuvector/scan-image:
          context: myContext
          registry_url: https://registry.hub.docker.com
          repository: alpine
          tag: "3.4"
          scan_layers: false
          high_vul_to_fail: 0
          medium_vul_to_fail: 3

Die registry_url ist der Ort, um das zu scannende Image zu finden. Konfigurieren Sie den Repository-Namen, das Tag und ob ein schichtweises Scannen durchgeführt werden soll. Fügen Sie Kriterien hinzu, damit die Build-Aufgabe aufgrund der Anzahl der erkannten hohen oder mittleren Schwachstellen fehlschlägt.

Überprüfen Sie die Ergebnisse

Die Build-Aufgabe wird basierend auf den festgelegten Kriterien bestehen oder fehlschlagen. In jedem Fall können Sie den vollständigen Scanbericht überprüfen. fehlschlagen