Instal plugin CI/CD untuk GitHub Actions - Security Center

Security Center memungkinkan Anda menginstal plugin CI/CD di GitHub. Setelah plugin tersebut terpasang, Security Center akan memindai image di GitHub saat Anda mem-build-nya.

Prasyarat

Sebelum memulai, pastikan Anda telah memiliki:

Repository GitHub dengan alur kerja Actions yang sudah ada
Token plugin CI/CD dari Security Center. Lihat Mendapatkan token plugin CI/CD. Simpan token ini sebagai rahasia terenkripsi GitHub (SAS_TOKEN).
ID AccessKey dan Rahasia AccessKey untuk Pengguna RAM. Simpan kedua nilai tersebut sebagai rahasia terenkripsi GitHub (ACCESSKEYID dan ACCESSKEYSECRET).

Penting

Gunakan ID AccessKey dan Rahasia AccessKey milik Pengguna RAM, bukan kredensial Akun Alibaba Cloud Anda. Kredensial tingkat akun memberikan izin penuh atas semua sumber daya — jaga kerahasiaannya dan jangan bagikan melalui saluran eksternal apa pun.

Tambahkan langkah pemindaian image ke alur kerja Anda

Masuk ke GitHub.
Klik foto profil Anda di pojok kanan atas, lalu pilih Your repositories dari daftar drop-down.
Pada tab Repositories, klik repository yang ingin Anda konfigurasi.
Klik tab Actions.
Di bagian All workflows, temukan file pipeline target dan klik ikon pada kolom Actor.
Pilih View workflow file.

Pada bagian Workflow file for this run, tambahkan langkah pemindaian berdasarkan contoh berikut:

name: Docker build and scan security issue by sas-image-scanner

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

env:
  REPO_TAG: your_docker_image_repo:your_docker_image_tag

jobs:

  build:

    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - name: Build the Docker image
      run: docker build . --file Dockerfile --tag ${{ env.REPO_TAG }}
    - name: Scan image by sas-image-scanner
      run: >
          docker run --rm -v /var/run/docker.sock:/var/run/docker.sock --network=host
          sas-image-scanner-registry.cn-hangzhou.cr.aliyuncs.com/sas_public/sas-image-scanner:latest
          --accessKeyId=${{ secrets.ACCESSKEYID }} --accessKeySecret=${{ secrets.ACCESSKEYSECRET }}
          --token=${{ secrets.SAS_TOKEN }} --imageId=${{ env.REPO_TAG }}

Tabel berikut menjelaskan parameter-parameter tersebut.

Parameter	Wajib	Bawaan	Deskripsi
`accessKeyId`	Ya	—	ID AccessKey Pengguna RAM Anda
`accessKeySecret`	Ya	—	Rahasia AccessKey Pengguna RAM Anda
`token`	Ya	—	Token plugin CI/CD
`imageId`	Ya	—	ID image atau tag repository image. Secara bawaan, image dipindai secara lokal. Untuk memindai image remote, atur nilai ini ke tag repository image dan juga konfigurasikan `registryUrl`, `registryUsername`, dan `registryPwd`.
`domain`	Tidak	(tidak ada)	Endpoint Security Center. Atur ke `tds.ap-southeast-1.aliyuncs.com`.
`registryUrl`	Tidak	(tidak ada)	URL repository image remote. Diperlukan saat memindai image remote.
`registryUsername`	Tidak	(tidak ada)	Username untuk repository image remote. Diperlukan saat memindai image remote.
`registryPwd`	Tidak	(tidak ada)	Password untuk repository image remote. Diperlukan saat memindai image remote.

Setelah konfigurasi selesai, Security Center akan memindai image dalam proyek untuk mendeteksi risiko setiap kali Anda mem-build proyek tersebut.

Langkah berikutnya

Lihat hasil pemindaian pada tab Container di halaman Assets di konsol Security Center. Untuk informasi selengkapnya, lihat Melihat hasil pemindaian image.