CircleCI

Analyser les vulnérabilités dans le pipeline de build CircleCI

L’ORB SUSE® Security CircleCI déclenche une analyse de vulnérabilités sur une image dans le pipeline CircleCI. L’ORB est disponible dans le catalogue CircleCI et est également documenté sur la SUSE® Security page GitHub.

Déployez le conteneur SUSE® Security Allinone ou Controller si vous ne l’avez pas déjà déployé sur un hôte accessible par l’ORB CircleCI. Notez l’adresse IP de l’hôte où l’Allinone ou le Controller est en cours d’exécution.

L’ORB prend en charge deux cas d’utilisation :

  1. Déclencher l’analyse à effectuer en dehors de l’infrastructure CircleCI. L’ORB contacte le SUSE® Security scanner, qui récupère ensuite l’image d’un registre à analyser. Assurez-vous que l’ORB a une connectivité réseau avec l’hôte où le SUSE® Security Controller/Allinone est en cours d’exécution.

  2. Lancer dynamiquement un SUSE® Security controller et scanner sur une machine virtuelle temporaire fonctionnant sur la plateforme CircleCI. Après le lancement et la configuration automatique, l’analyse peut être effectuée sur l’image du build, et après achèvement, SUSE® Security le déploiement est interrompu et supprimé. Pour ce cas d’utilisation, veuillez consulter la documentation sur le CircleCI ORB pour SUSE® Security.

De plus, assurez-vous qu’il y a un conteneur SUSE® Security scanner déployé et configuré pour se connecter à l’Allinone ou au Controller. Dans la version 4.0 et ultérieure, le conteneur neuvector/scanner doit être déployé séparément de l’Allinone ou du Controller.

Créer un contexte dans votre appli CircleCI

context

Configurer les paramètres

Configurer les variables d’environnement pour se connecter et s’authentifier

paramètres

Ajoutez l’ORB SUSE® Security à votre configuration de build config.yaml.

version: 2.1
orbs:
  neuvector: neuvector/neuvector-orb@1.0.0
workflows:
  scan-image:
    jobs:
      - neuvector/scan-image:
          context: myContext
          registry_url: https://registry.hub.docker.com
          repository: alpine
          tag: "3.4"
          scan_layers: false
          high_vul_to_fail: 0
          medium_vul_to_fail: 3

L’url du registre est l’emplacement pour trouver l’image à scanner. Configurez le nom du dépôt, le tag, et si une analyse en couches doit être effectuée. Ajoutez des critères pour que la tâche de build échoue en fonction du nombre de vulnérabilités élevées ou moyennes détectées.

Examinez les résultats

La tâche de build réussira ou échouera en fonction des critères définis. Dans les deux cas, vous pouvez consulter le rapport de scan complet. échec