Instal Plugin CI/CD untuk GitHub Actions - Security Center

Security Center memungkinkan Anda menginstal plugin CI/CD di GitHub. Setelah menginstal plugin CI/CD, Security Center akan memindai gambar di GitHub saat Anda membuatnya. Topik ini menjelaskan cara menginstal plugin CI/CD di GitHub.

Prosedur

Masuk ke GitHub.
Klik foto profil di pojok kanan atas dan pilih Your repositories dari daftar drop-down yang muncul.
Pada tab Repositories, klik repository tempat Anda ingin menginstal plugin CI/CD.
Klik tab Actions.
Di bagian All workflows, temukan file pipeline workflow tempat Anda ingin menginstal plugin CI/CD dan klik ikon di kolom Actor.
Dalam daftar drop-down, pilih View workflow file.

Di bagian Workflow file for this run, konfigurasikan parameter berdasarkan contoh berikut:

name: Docker build and scan security issue by sas-image-scanner

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

env:
  REPO_TAG: your_docker_image_repo:your_docker_image_tag

jobs:

  build:

    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - name: Build the Docker image
      run: docker build . --file Dockerfile --tag ${{ env.REPO_TAG }}
    - name: Scan image by sas-image-scanner
      run: >
          docker run --rm -v /var/run/docker.sock:/var/run/docker.sock --network=host
          sas-image-scanner-registry.cn-hangzhou.cr.aliyuncs.com/sas_public/sas-image-scanner:latest
          --accessKeyId=${{ secrets.ACCESSKEYID }} --accessKeySecret=${{ secrets.ACCESSKEYSECRET }}
          --token=${{ secrets.SAS_TOKEN }} --imageId=${{ env.REPO_TAG }}

Tabel berikut menjelaskan parameter-parameter tersebut.

Parameter	Diperlukan	Deskripsi
accessKeyId	Ya	ID AccessKey dari akun Alibaba Cloud Anda atau pengguna RAM dari akun Alibaba Cloud. Penting Kami merekomendasikan Anda memasukkan ID AccessKey dari pengguna RAM. Pasangan AccessKey dari akun Alibaba Cloud terdiri dari ID AccessKey dan Rahasia AccessKey. Kredensial ini memberi Anda izin penuh pada sumber daya dalam akun. Anda harus menjaga kerahasiaan pasangan AccessKey. Untuk menghindari ancaman keamanan yang disebabkan oleh penggunaan jahat, jangan mengungkapkan pasangan AccessKey Anda ke saluran eksternal. Kami menyarankan Anda mengikuti praktik terbaik Alibaba Cloud dan menggunakan pasangan AccessKey pengguna RAM untuk memanggil operasi API.
accessKeySecret	Ya	Rahasia AccessKey dari akun Alibaba Cloud Anda atau pengguna RAM dari akun Alibaba Cloud. Penting Kami merekomendasikan Anda memasukkan Rahasia AccessKey dari pengguna RAM. Pasangan AccessKey dari akun Alibaba Cloud terdiri dari ID AccessKey dan Rahasia AccessKey. Kredensial ini memberi Anda izin penuh pada sumber daya dalam akun. Anda harus menjaga kerahasiaan pasangan AccessKey. Untuk menghindari ancaman keamanan yang disebabkan oleh penggunaan jahat, jangan mengungkapkan pasangan AccessKey Anda ke saluran eksternal. Kami menyarankan Anda mengikuti praktik terbaik Alibaba Cloud dan menggunakan pasangan AccessKey pengguna RAM untuk memanggil operasi API.
token	Ya	Token dari plugin CI/CD. Untuk informasi lebih lanjut tentang cara mendapatkan token dari plugin CI/CD, lihat Mendapatkan Token dari Plugin CI/CD.
imageId	Ya	ID gambar yang ingin Anda pindai. Secara default, gambar dipindai secara lokal. Jika Anda ingin memindai gambar lokal, Anda harus menetapkan parameter ini ke ID gambar atau tag repositori gambar tempat gambar tersebut termasuk. Jika Anda ingin memindai gambar jarak jauh, Anda harus mengonfigurasi parameter registryUrl atau menetapkan parameter ini ke tag repositori gambar tempat gambar-gambar tersebut termasuk. Penting Jika Anda ingin memindai gambar di repositori gambar jarak jauh, Anda harus mengonfigurasi parameter registryUrl, registryUsername, dan registryPassword.
domain	Tidak	Titik akhir dari Security Center. Tetapkan nilainya menjadi tds.ap-southeast-1.aliyuncs.com.
registryUrl	Tidak	URL repositori gambar. Penting Jika Anda ingin memindai gambar di repositori gambar jarak jauh, Anda harus mengonfigurasi parameter ini.
registryUsername	Tidak	Nama pengguna yang digunakan untuk masuk ke repositori gambar. Penting Jika Anda ingin memindai gambar di repositori gambar jarak jauh, Anda harus mengonfigurasi parameter ini.
registryPwd	Tidak	Kata sandi yang digunakan untuk masuk ke repositori gambar. Penting Jika Anda ingin memindai gambar di repositori gambar jarak jauh, Anda harus mengonfigurasi parameter ini.

Setelah menyelesaikan konfigurasi, Security Center akan memindai gambar dalam proyek untuk risiko saat Anda membangun proyek.

Apa yang Harus Dilakukan Selanjutnya

Anda dapat melihat hasil pemindaian gambar di tab Container halaman Aset di konsol Security Center. Untuk informasi lebih lanjut, lihat Lihat Hasil Pemindaian Gambar.