本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon Inspector TeamCity 插件
Amazon Inspector TeamCity 插件使您能夠將 Amazon Inspector 漏洞掃描添加到TeamCity管道中。此外掛程式利用 Amazon Inspector SBOM 產生器二進位檔和 Amazon Inspector 掃描 API,在組建結束時產生詳細的報告,讓您可以在部署之前調查並修復風險。也可以根據偵測到的弱點數目和嚴重性,將掃描設定為通過或失敗管道執行。
Amazon Inspector 是一項弱點管理服務,可針對 AWS 以 CVE 為基礎的作業系統和程式設計語言套件弱點掃描容器映像檔。如需 Amazon Inspector CI/CD 整合的詳細資訊,請參閱。將亞馬Amazon Inspector 查器掃描整合到您的CI/CD 管道
如需套件和容器映像格式的清單,請參閱 Amazon Inspector 外掛程式支援的支援的套件類型。
您可以在以下位置查看該插件的最TeamCity新版本:https://plugins.jetbrains.com/plugin/23236-amazon-inspector-scanner
-
設定 AWS 帳戶.
-
使 AWS 帳戶 用 IAM 角色進行設定,以允許存取 Amazon Inspector 掃描 API。如需說明,請參閱設置一個 AWS 帳戶以使用 Amazon Inspector CI/CD 集成。
-
-
安裝 Amazon Inspector TeamCity 插件。
-
從儀表板前往管理 > 外掛程式。
-
搜索 Amazon Inspector 掃描。
-
安裝 外掛程式。
-
-
安裝 Amazon Inspector SBOM 發生器。
-
在您的 Teamcity 伺服器目錄中安裝 Amazon Inspector SBOM 產生器二進位檔。如需說明,請參閱安裝 Sbomgen。
-
-
將 Amazon Inspector 掃描構建步驟添加到您的項目中。
-
在設定頁面上,向下捲動至建置步驟,選擇 [新增建置步驟],然後選取 [Amazon Inspector 掃描]。
-
透過填寫下列詳細資料來設定 Amazon Inspector 掃描建置步驟:
-
新增步驟名稱。
-
在兩種 Amazon Inspector 器 SBOM 生成器安裝方法之間進行選擇:自動或手動。
-
根據您的系統和 CPU 架構,自動下載最新版本的 Amazon Inspector 器 SBOM 生成器。
-
手冊要求您提供先前下載版本的 Amazon Inspector 器 SBOM 生成器的完整路徑。
有關更多信息,請參閱 Amazon Inspector SBOM 發生器安裝 (安裝) Amazon Inspector SBOM 發生器.
-
-
輸入您的圖像 ID。您的映像檔可以是本機、遠端或封存。影像名稱應遵循Docker命名慣例。如果要分析匯出的影像,請提供預期 tar 檔案的路徑。請參閱下列範例影像 ID 路徑:
-
對於本機或遠端容器:
NAME[:TAG|@DIGEST]
-
對於 tar 文件:
/path/to/image.tar
-
-
針對 IAM 角色,輸入您在步驟 1 中設定之角色的 ARN。
-
選取AWS 區域要透過傳送掃描要求。
-
(可選)對於 Docker 身份驗證,請輸入您的 Docker 用戶名和碼頭密碼。只有當您的容器映像位於私有存儲庫中時,才執行此操作。
-
(選擇性) 對於AWS 驗證,請輸入您的 AWS 存取金鑰 ID 和 AWS 秘密金鑰。只有當您要根據 AWS 認證進行驗證時,才執行此操作。
-
(選擇性) 指定每個嚴重性的弱點閾值。如果在掃描期間超過您指定的數目,映像建立將會失敗。如果值為所
0
有,則無論發現的漏洞數量如何,構建都將成功。
-
-
選取 Save (儲存)。
-
-
查看您的 Amazon Inspector 漏洞報告。
-
完成專案的新組建。
-
建置完成時,請從結果中選取輸出格式。當您選取 HTML 時,您可以選擇下載報告的 JSON SBOM 或 CSV 版本。以下是 HTML 報告的範例:
-