Security Centerでは、GitHubにCI/CDプラグインをインストールできます。 CI/CDプラグインをインストールした後、Security CenterはイメージをビルドするときにGitHubでイメージをスキャンします。 このトピックでは、GitHubにCI/CDプラグインをインストールする方法について説明します。

手順

  1. GitHubにログインします。
  2. 右上隅のプロフィール写真をクリックし、表示されるドロップダウンリストから [リポジトリ] を選択します。
  3. [リポジトリ] タブで、CI/CDプラグインをインストールする [リポジトリ] をクリックします。
  4. [操作] タブをクリックします。
  5. [すべてのワークフロー] セクションで、CI/CDプラグインをインストールするワークフローパイプラインファイルを見つけ、Actor列の詳細アイコンアイコンをクリックします。
  6. ドロップダウンリストで、ワークフローファイルの表示を選択します。
  7. [この実行のワークフローファイル] セクションで、次の例に基づいてパラメーターを設定します。 
    名前: Dockerビルドとsas-image-scannerによるスキャンのセキュリティ問題

on:
  プッシュ:
    ブランチ: [ main]
  pull_request:
    ブランチ: [ main]

env:
  REPO_TAG: your_docker_image_repo:your_docker_image_tag

ジョブ:

  ビルド:

    runs-on: ubuntu-latest

    steps:
    -uses: actions/checkout @ v2
    -name: Dockerイメージのビルド
      run: docker build。 -- file Dockerfile -- tag ${{ env.REPO_TAG }}
    -名前: sas-image-scannerによるスキャン画像
      実行:>
          docker run -- rm -v /var/run/docker.sock:/var/run/docker.sock -- network=host
          sas-image-scanner-registry.cn-hangzhou.cr.aliyuncs.com/sas_public/sas-image-scanner:latest
          -- accessKeyId =${{ secrets.ACCESSKEYID }} -- accessKeySecret =${{ secrets.ACCESSKEYSECRET }}
          -- token =${{ secrets.SAS_TOKEN }} -- imageId =${{ env.REPO_TAG }}
    下表にパラメーターを示します。
    パラメーター 必須/任意 説明
    accessKeyId 必須 Alibaba CloudアカウントまたはAlibaba CloudアカウントのRAMユーザーのAccessKey ID。
    重要 RAMユーザーのAccessKey IDを入力することを推奨します。 Alibaba CloudアカウントのAccessKeyペアは、AccessKey IDとAccessKey secretで構成されています。 これらの資格情報は、アカウント内のリソースに対する完全な権限を提供します。 AccessKeyペアは機密を保持する必要があります。 悪意のある使用によって引き起こされるセキュリティ上の脅威を回避するために、AccessKeyペアを外部チャネルに公開しないでください。 Alibaba Cloudのベストプラクティスに従い、RAMユーザーのAccessKeyペアを使用してAPI操作を呼び出すことを推奨します。
    accessKeySecret 必須 Alibaba CloudアカウントまたはAlibaba CloudアカウントのRAMユーザーのAccessKeyシークレット。
    重要 RAMユーザーのAccessKeyシークレットを入力することを推奨します。 Alibaba CloudアカウントのAccessKeyペアは、AccessKey IDとAccessKey secretで構成されています。 これらの資格情報は、アカウント内のリソースに対する完全な権限を提供します。 AccessKeyペアは機密を保持する必要があります。 悪意のある使用によって引き起こされるセキュリティ上の脅威を回避するために、AccessKeyペアを外部チャネルに公開しないでください。 Alibaba Cloudのベストプラクティスに従い、RAMユーザーのAccessKeyペアを使用してAPI操作を呼び出すことを推奨します。
    token 必須 CI/CDプラグインのトークン。 CI/CDプラグインのトークンを取得する方法の詳細については、「t2187546.html#task_2187546」をご参照ください。
    imageId 必須 スキャンする画像のID。 デフォルトでは、画像はローカルでスキャンされます。
    • ローカルイメージをスキャンする場合は、このパラメーターをイメージのIDまたはイメージが属するイメージリポジトリのタグに設定する必要があります。
    • リモートイメージをスキャンする場合は、registryUrlパラメーターを設定するか、イメージが属するイメージリポジトリのタグにこのパラメーターを設定する必要があります。
      重要 リモートイメージリポジトリでイメージをスキャンする場合は、registryUrl、registryUsername、およびregistryPasswordパラメーターを設定する必要があります。
    domain 任意 Security Centerのエンドポイント。 Set the value to tds.ap-southeast-1.aliyuncs.com.
    registryUrl 任意 イメージリポジトリのURL。
    重要 リモートイメージリポジトリでイメージをスキャンする場合は、このパラメーターを設定する必要があります。
    registryUsername 任意 イメージリポジトリへのログインに使用されるユーザー名。
    重要 リモートイメージリポジトリでイメージをスキャンする場合は、このパラメーターを設定する必要があります。
    registryPwd 任意 イメージリポジトリへのログインに使用されるパスワード。
    重要 リモートイメージリポジトリでイメージをスキャンする場合は、このパラメーターを設定する必要があります。
    設定が完了すると、Security Centerはプロジェクトのビルド時にプロジェクト内のイメージをスキャンしてリスクを検出します。

次の手順

Security Centerコンソールの [アセット] ページの [コンテナ] タブで、イメージのスキャン結果を確認できます。 詳細については、「イメージスキャン結果の表示」をご参照ください。