Amazon Inspector スキャンを CI/CD パイプラインに統合する - Amazon Inspector

Amazon Inspector スキャンを CI/CD パイプラインに統合する

Amazon Inspector を CI/CD に統合した場合、Amazon Inspector SBOM Generator と Amazon Inspector スキャン API を利用してコンテナイメージの脆弱性レポートが作成されます。Amazon Inspector SBOM Generator は、アーカイブ、コンテナイメージ、ディレクトリ、ローカルシステム、コンパイルされた Go および Rust バイナリのソフトウェア部品表 (SBOM) を作成します。Amazon Inspector スキャン API は SBOM をスキャンして、検出された脆弱性に関する詳細を含むレポートを作成します。Amazon Inspector コンテナイメージスキャンを CI/CD パイプラインと統合して、ソフトウェアの脆弱性をスキャンし、脆弱性レポートを生成できます。これにより、デプロイ前にリスクを調査して修正できます。CI/CD 統合を設定するには、プラグインを使用するか、Amazon Inspector SBOM Generator と Amazon Inspector スキャン API を使用してカスタム CI/CD 統合を作成できます。

プラグインによる統合

Amazon Inspector には、サポートされている CI/CD ソリューション用のプラグインが用意されています。これらのプラグインをそれぞれのマーケットプレイスからインストールし、それらを使用して Amazon Inspector スキャンをパイプラインのビルドステップとして追加できます。プラグインのビルドステップでは、指定したイメージに対して Amazon Inspector SBOM Generator を実行し、生成された SBOM に対して Amazon Inspector スキャン API を実行します。

プラグインによる Amazon Inspector の CI/CD への統合がどのように機能するか、その概要を以下に示します。

  1. Amazon Inspector スキャン API へのアクセスを許可するように AWS アカウント を設定します。手順については、Amazon Inspector を CI/CD に統合するための AWS アカウントをセットアップする を参照してください。

  2. マーケットプレイスから Amazon Inspector プラグインをインストールします。

  3. Amazon Inspector SBOM Generator バイナリをインストールして設定します。手順については、Amazon Inspector SBOM Generator を参照してください。

  4. Amazon Inspector スキャンを CI/CD パイプラインのビルドステップとして追加し、スキャンを設定します。

  5. ビルドを実行すると、プラグインはコンテナイメージを入力として受け取り、そのイメージに対して Amazon Inspector SBOM Generator を実行して CycloneDX と互換がある SBOM を生成します。

  6. そこから、プラグインは生成された SBOM を Amazon Inspector スキャン API のエンドポイントに送信します。このエンドポイントは、各 SBOM コンポーネントの脆弱性を評価します。

  7. Amazon Inspector スキャン API のレスポンスは、CSV、SBOM、JSON、および HTML 形式の脆弱性レポートに変換されます。レポートには、Amazon Inspector が検出したあらゆる脆弱性に関する詳細が含まれています。

サポートされている CI/CD ソリューション

Amazon Inspector は現在、以下の CI/CD ソリューションをサポートしています。プラグインを使用して CI/CD の統合をセットアップする詳細な手順については、CI/CD ソリューションに適したプラグインを以下から選択してください。

カスタム統合

Amazon Inspector から CI/CD ソリューション用のプラグインが提供されていない場合は、Amazon Inspector SBOM Generator と Amazon Inspector スキャン API を組み合わせて、独自にカスタムした CI/CD 統合を作成できます。カスタム統合では、Amazon Inspector SBOM Generator で利用可能なオプションを使用してスキャンを微調整することもできます。

カスタムによる Amazon Inspector の CI/CD への統合がどのように機能するか、その概要を以下に示します。

  1. Amazon Inspector スキャン API へのアクセスを許可するように AWS アカウント を設定します。手順については、Amazon Inspector を CI/CD に統合するための AWS アカウントをセットアップする を参照してください。

  2. Amazon Inspector SBOM Generator バイナリをインストールして設定します。手順については、Amazon Inspector SBOM Generator を参照してください。

  3. Amazon Inspector SBOM Generator を使用し、コンテナイメージに対して CycloneDX と互換性のある SBOM を生成します。

  4. 生成された SBOM に Amazon Inspector スキャン API を使用して、脆弱性レポートを作成します。

カスタム統合を設定する手順については、「Amazon Inspector スキャンを使用したカスタム CI/CD パイプライン統合の作成」を参照してください。