Security Center CI/CD は、Jenkins または GitHub プロジェクトのビルド中に、コンテナイメージに含まれる高リスクのシステム脆弱性、アプリケーション脆弱性、ウイルス、ウェブシェル、悪意のあるスクリプト、構成リスク、および機密データを検出します。検出結果に基づき、迅速なリスク特定と是正を支援するための是正建議を提供します。
使用制限
本機能は、Advanced、Enterprise、Ultimate、および Value-added Plan 版でのみご利用いただけます。Basic 版または Anti-virus 版をご利用の場合、本機能を利用するには、対応するエディションへスペックアップする必要があります。詳細については、「Security Center の購入」および「Security Center のスペックアップ/スペックダウン」をご参照ください。各エディションで利用可能な特徴量については、「特徴量」をご参照ください。
CI/CD の仕組み
コンテナイメージを Security Center に同期する必要はありません。代わりに、Jenkins または GitHub に Security Center のイメージスキャンプラグインをインストールしてください。統合が完了すると、プロジェクトのビルドごとに Security Center が自動的にイメージのセキュリティリスクをスキャンします。スキャン結果は、Security Center コンソールの CI/CD タブに表示されます。その後、提供された結果に基づいて、検出されたセキュリティリスクを管理できます。
適用範囲/利用シーン
Security Center CI/CD は、以下のシナリオでご利用いただけます:
Jenkins Freestyle プロジェクト
Jenkins Pipeline プロジェクト
GitHub Actions
前提条件
イメージスキャンの遅延を防ぐため、サーバーが最低構成要件を満たしていることを確認してください。
最低構成
vCPU:1
メモリ:2 GB
ストレージ:60 GB
ネットワーク:サーバーがインターネットに接続可能であり、Alibaba Cloud サービス( および tds.ap-southeast-1.aliyuncs.com)にアクセス可能であること。
推奨構成
vCPU:4
メモリ:8 GB
ストレージ:100 GB
ネットワーク:サーバーがインターネットに接続可能であり、アップストリーム帯域幅が最低 10 Mbps 以上であること、および Alibaba Cloud サービス( および tds.ap-southeast-1.aliyuncs.com)にアクセス可能であること。
操作手順
Security Center CI/CD プラグイン用のアクセストークンを取得します。詳細については、「トークンの取得」をご参照ください。
イメージスキャンタスクの作成に RAM ユーザーを使用する場合、RAM ユーザーを作成し、Security Center 専用のイメージスキャンポリシーをアタッチする必要があります。詳細については、「RAM ユーザーの作成と権限付与」をご参照ください。
イメージスキャンタスクの作成に使用する Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey ペアを取得します。既存の AccessKey を使用するか、または「AccessKey の作成」に記載されている手順に従って新しい AccessKey を作成できます。
説明AccessKey の漏洩リスクを低減するため、AccessKey Secret は AccessKey の作成時のみ一度だけ表示されます。その後、Secret を再取得することはできません。必ず安全な場所に保管してください。
Security Center CI/CD プラグインを Jenkins または GitHub に統合します。詳細については、以下をご参照ください:
Security Center で提供される是正建議に基づき、イメージスキャン結果を確認し、検出されたセキュリティリスクを是正します。詳細については、「イメージスキャン結果の表示」をご参照ください。