|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
CircleCI
扫描 CircleCI 构建管道中的漏洞
SUSE® Security CircleCI ORB 在 CircleCI 管道中的图像上触发漏洞扫描。该 ORB 可在 CircleCI 目录 中找到,并且在 SUSE® Security GitHub 页面 上也有文档。
如果尚未在 CircleCI ORB 可访问的主机上部署 SUSE® Security Allinone 或 Controller 容器,请进行部署。记下运行 Allinone 或 Controller 的主机的 IP 地址。
该 ORB 支持两种用例:
-
触发在 CircleCI 基础设施外部执行的扫描。ORB 联系 SUSE® Security 扫描器,然后从注册表中提取要扫描的图像。确保 ORB 与运行 SUSE® Security Controller/Allinone 的主机具有网络连接。
-
在 CircleCI 平台上动态启动一个 SUSE® Security 控制器和扫描器,运行在临时虚拟机上。启动并自动配置后,可以对构建中的图像进行扫描,完成后 SUSE® Security 部署将停止并被去除。 有关此用例,请参阅 CircleCI ORB for SUSE® Security 的文档。
此外,请确保已部署并配置一个 SUSE® Security 扫描器容器,以连接到 Allinone 或 Controller。在 4.0 及更高版本中,NeuVector Scanner 容器必须与 Allinone 或 Controller 分开部署。
配置设置
配置连接和身份验证的环境变量
将 SUSE® Security orb 添加到您的构建 config.yaml
version: 2.1
orbs:
neuvector: neuvector/neuvector-orb@1.0.0
workflows:
scan-image:
jobs:
- neuvector/scan-image:
context: myContext
registry_url: https://registry.hub.docker.com
repository: alpine
tag: "3.4"
scan_layers: false
high_vul_to_fail: 0
medium_vul_to_fail: 3registry_url是查找要扫描的图像的位置。配置储存库名称、标签,以及是否应执行分层扫描。为构建任务添加标准,以便根据检测到的高或中等漏洞数量决定是否失败。
