Verwenden des Amazon TeamCity Inspector-Plug-ins

Das Amazon TeamCity Inspector-Plugin nutzt die Amazon Inspector SBOM Generator-Binärdatei und Amazon Inspector Scan, API um am Ende Ihres Builds detaillierte Berichte zu erstellen, sodass Sie Risiken vor der Bereitstellung untersuchen und beheben können. Mit dem Amazon TeamCity Inspector-Plugin können Sie Amazon Inspector Inspector-Schwachstellenscans zu Ihrer TeamCity Pipeline hinzufügen. Amazon Inspector Vulnerability Scans können so konfiguriert werden, dass Pipeline-Ausführungen je nach Anzahl und Schweregrad der erkannten Sicherheitslücken bestanden oder fehlschlagen. Sie können die neueste Version des Amazon TeamCity Inspector-Plug-ins im TeamCity Marketplace unter https://plugins.jetbrains.com/plugin/23236- amazon-inspector-scanner einsehen. Informationen zur Integration von Amazon Inspector Scan in Ihre CI/CD-Pipeline finden Sie unter Integration von Amazon Inspector-Scans in Ihre CI/CD-Pipeline. Eine Liste der Betriebssysteme und Programmiersprachen, die Amazon Inspector unterstützt, finden Sie unter Unterstützte Betriebssysteme und Programmiersprachen. In den folgenden Schritten wird beschrieben, wie Sie das Amazon TeamCity Inspector-Plugin einrichten.

1. Richten Sie ein AWS-Konto.

   • Konfigurieren Sie eine AWS-Konto mit einer IAM Rolle, die den Zugriff auf den Amazon Inspector Scan ermöglichtAPI. Anweisungen finden Sie unter Einrichtung eines AWS Kontos für die Nutzung der Amazon Inspector CI/CD-Integration.

2. Installieren Sie das Amazon TeamCity Inspector-Plugin.

   1. Gehen Sie in Ihrem Dashboard zu Administration > Plugins.

   2. Suchen Sie nach Amazon Inspector Scans.

   3. Installieren Sie das -Plug-in.

3. Installieren Sie den Amazon Inspector SBOM Generator.

   • Installieren Sie die Amazon Inspector SBOM Generator-Binärdatei in Ihrem Teamcity-Serververzeichnis. Anweisungen finden Sie unter Installation von Sbomgen.

4. Fügen Sie Ihrem Projekt einen Amazon Inspector Scan-Build-Schritt hinzu.

   1. Scrollen Sie auf der Konfigurationsseite nach unten zu Build Steps, wählen Sie Build-Schritt hinzufügen und dann Amazon Inspector Scan aus.

   2. Konfigurieren Sie den Erstellungsschritt Amazon Inspector Scan, indem Sie die folgenden Details eingeben:

      • Fügen Sie einen Schrittnamen hinzu.

      • Wählen Sie zwischen zwei Installationsmethoden für Amazon Inspector SBOM Generator: Automatisch oder Manuell.

        • Lädt automatisch die neueste Version von Amazon Inspector SBOM Generator herunter, die auf Ihrem System und Ihrer CPU Architektur basiert.

        • Für das Handbuch müssen Sie einen vollständigen Pfad zu einer zuvor heruntergeladenen Version von Amazon Inspector SBOM Generator angeben.

        Weitere Informationen finden Sie unter Installation von Amazon Inspector SBOM Generator (Sbomgen) in Amazon Inspector Generator. SBOM

      • Geben Sie Ihre Bild-ID ein. Ihr Bild kann lokal, remote oder archiviert sein. Bildnamen sollten der Docker Benennungskonvention entsprechen. Wenn Sie ein exportiertes Bild analysieren, geben Sie den Pfad zur erwarteten TAR-Datei an. Sehen Sie sich das folgende Beispiel für Image-ID-Pfade an:

        • Für lokale oder Remote-Container: NAME[:TAG|@DIGEST]

        • Für eine TAR-Datei: /path/to/image.tar

      • Geben Sie für IAMRolle den Wert ARN für die Rolle ein, die Sie in Schritt 1 konfiguriert haben.

      • Wählen Sie einen aus AWS-Region, über den die Scananforderung gesendet werden soll.

      • (Optional) Geben Sie für die Docker-Authentifizierung Ihren Docker-Benutzernamen und Ihr Docker-Passwort ein. Tun Sie dies nur, wenn sich Ihr Container-Image in einem privaten Repository befindet.

      • (Optional) Geben Sie für die AWS Authentifizierung Ihre AWS Zugriffsschlüssel-ID und Ihren AWS geheimen Schlüssel ein. Tun Sie dies nur, wenn Sie sich anhand von AWS Anmeldeinformationen authentifizieren möchten.

      • (Optional) Geben Sie die Schwellenwerte für Sicherheitslücken pro Schweregrad an. Wenn die von Ihnen angegebene Zahl während eines Scans überschritten wird, schlägt die Image-Erstellung fehl. Wenn die Werte alle sind, ist 0 der Build unabhängig von der Anzahl der gefundenen Sicherheitslücken erfolgreich.

   3. Wählen Sie Speichern.

5. Sehen Sie sich Ihren Amazon Inspector Inspector-Schwachstellenbericht an.

   1. Vervollständigen Sie einen neuen Build Ihres Projekts.

   2. Wenn der Build abgeschlossen ist, wählen Sie ein Ausgabeformat aus den Ergebnissen aus. Wenn HTML Sie auswählen, haben Sie die Möglichkeit, eine JSON SBOM CSV Version des Berichts herunterzuladen. Im Folgenden finden Sie ein Beispiel für einen HTML Bericht: