Security Centerは、CI/CDベースのコンテナイメージスキャンの機能を提供し、イメージリスクを効率的に検出します。 この機能は、JenkinsとGitHubのプロジェクト構築ステージを対象としています。 この機能は、リスクの高いシステムの脆弱性、アプリケーションの脆弱性、ウイルス、Webシェル、悪意のあるスクリプトの実行、設定のリスクを検出し、イメージ上の機密データを特定するのに役立ちます。 この機能は、検出された画像リスクに対するソリューションも提供します。
制限事項
セキュリティセンターのAdvanced、Enterprise、Ultimate、および付加価値プラン版のみがこの機能をサポートしています。 セキュリティセンターのエディションがBasicまたはAnti-virusの場合、エディションをアップグレードします。 Security Centerの購入とアップグレード方法については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。 各エディションでサポートされている機能については、「機能と機能」をご参照ください。
実装
CI/CDベースのコンテナイメージスキャンを使用するには、JenkinsまたはGitHubにCI/CDプラグインをインストールするだけで、JenkinsまたはGitHubでプロジェクトをビルドするときに、Security Centerが自動的にイメージをスキャンしてリスクを検出できるようになります。 リスクスキャンのために画像をSecurity Centerに同期する必要はありません。 スキャンが完了すると、Security CenterコンソールのAssetsページのCI/CDタブにスキャン結果が表示されます。 CI/CDプラグインは、画像のスキャンに使用されます。 スキャン結果に基づいて画像リスクを処理できます。
シナリオ
CI/CDベースのコンテナーイメージスキャンを使用できるシナリオを次に示します。
Jenkins Freestyleプロジェクト
Jenkins Pipelineプロジェクト
GitHubアクション
前提条件
サーバーは最小構成要件を満たしています。 これは、遅い画像スキャンを防止する。
最小構成設定
vCPUの数: 1。
メモリ: 2 GB。
ストレージ容量: 60 GB。
ネットワーク: サーバーはインターネット経由で利用でき、エンドポイントがAlibaba Cloudサービスにアクセスできます。
tds.ap-southeast-1.aliyuncs.com.
最適な設定
vCPUの数: 4。
メモリ: 8 GB。
ストレージ容量: 100 GB。
ネットワーク: サーバーはインターネット経由で利用でき、エンドポイントがAlibaba Cloudサービスにアクセスできます。
tds.ap-southeast-1.aliyuncs.com. アップストリーム帯域幅は10 Mbit/sより大きい。
手順
Security CenterのCI/CD部品のアクセストークンを取得します。 詳細については、「トークンの取得」をご参照ください。
RAMユーザーを使用してSecurity Centerでイメージスキャンタスクを作成する場合は、RAMユーザーを作成し、Security CenterイメージスキャンのポリシーをRAMユーザーにアタッチする必要があります。 詳細については、「RAMユーザーの作成とRAMユーザーへの権限付与」をご参照ください。
Security Centerでイメージスキャンタスクを作成するために使用されるAlibaba CloudアカウントまたはRAMユーザーのAccessKeyペアを取得します。 詳細については、「RAMユーザーのAccessKeyペアに関する情報の表示」をご参照ください。
Security CenterのCI/CDプラグインをJenkinsまたはGitHubに統合します。 詳細については、以下のトピックをご参照ください。
画像スキャン結果を表示し、security Centerが提供するソリューションに基づいて画像のセキュリティリスクを処理します。 詳細については、「イメージスキャン結果の表示」をご参照ください。