Security Center の CI/CD 機能は、Jenkins または GitHub プロジェクトのビルドフェーズ中にイメージのセキュリティリスクをスキャンします。高リスクのシステムの脆弱性、アプリケーションの脆弱性、ウイルス、Web シェル、悪意のあるスクリプト、設定リスク、機密データを検出します。Security Center は修復の提案も提供し、開発ライフサイクルの早い段階でセキュリティ問題を解決することをサポートします。
対応エディション
この機能は、Advanced Edition、Enterprise Edition、Ultimate Edition、および Value-added Plan を購入したユーザーのみが利用できます。この機能を使用するには、他のエディションのユーザーはこれらのエディションのいずれかにアップグレードするか、Value-added Plan を購入する必要があります。Security Center の購入とアップグレードの手順については、「Security Center の購入」および「アップグレードとダウングレード」をご参照ください。エディション間の機能の詳細な比較については、「機能」をご参照ください。
仕組み
CI/CD 機能を使用するために、イメージアセットをセキュリティセンターと同期する必要はありません。代わりに、CI/CD プラグインを Jenkins または GitHub と統合します。統合を設定すると、プロジェクトをビルドするたびにイメージスキャンが自動的にトリガーされます。スキャンによってプロジェクトのイメージ内のセキュリティリスクがチェックされ、その結果はセキュリティセンターコンソールの[CI/CD] タブに表示されます。その後、スキャン結果に基づいて、検出されたセキュリティリスクを解決できます。
ユースケース
Security Center の CI/CD 機能は、次のシナリオで使用できます。
-
Jenkins Freestyle
-
Jenkins Pipeline
-
GitHub Actions
システム要件
イメージスキャンの遅延を回避するため、サーバーが最小構成要件を満たしていることを確認してください。
-
最小構成
-
CPU:1 コア
-
メモリ:2 GB
-
ストレージ:60 GB
-
ネットワーク:インターネット接続および Alibaba Cloud サービスエンドポイント (tds.ap-southeast-1.aliyuncs.com) へのアクセス。
-
-
推奨構成
-
CPU:4 コア
-
メモリ:8 GB
-
ストレージ:100 GB
-
ネットワーク:10 Mbps を超えるアップストリーム帯域幅を持つインターネット接続および Alibaba Cloud サービスエンドポイント (tds.ap-southeast-1.aliyuncs.com) へのアクセス。
-
操作手順
-
Security Center CI/CD プラグインのアクセストークンを取得します。詳細については、「アクセストークンの取得」をご参照ください。
-
専用の RAM ユーザーを使用してイメージスキャンを実行する場合は、RAM ユーザーを作成し、イメージスキャンに必要なポリシーをアタッチする必要があります。詳細については、「RAM ユーザーの作成と権限付与」をご参照ください。
-
イメージスキャンを実行する Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey を取得します。既存の AccessKey を使用するか、新しい AccessKey を作成できます。詳細については、「AccessKey の作成」をご参照ください。
説明AccessKey Secret は作成時にのみ表示され、後から取得することはできません。漏洩によるセキュリティリスクを防ぐため、安全に保管してください。
-
Security Center CI/CD プラグインを Jenkins または GitHub と統合します。手順については、次のトピックをご参照ください:
-
スキャンが完了したら、速やかに結果を確認し、提示された修復の提案を使用して、イメージで検出されたセキュリティリスクを解決してください。詳細については、「イメージスキャン結果の表示」をご参照ください。