第2章 Web コンソールで OpenShift Pipelines を設定してソフトウェアサプライチェーンのセキュリティー要素を表示する方法

手順

1. 開発者 または 管理者 のパースペクティブで、脆弱性を視覚的に表現する関連プロジェクトに切り替えます。

2. 既存の脆弱性スキャンタスクを更新して、出力が .json ファイルに保存され、次の形式で脆弱性の概要が抽出されるようにします。

   # The format to extract vulnerability summary (adjust the jq command for different JSON structures).
   jq -rce \
       '{vulnerabilities:{
         critical: (.result.summary.CRITICAL),
         high: (.result.summary.IMPORTANT),
         medium: (.result.summary.MODERATE),
         low: (.result.summary.LOW)
         }}' scan_output.json | tee $(results.SCAN_OUTPUT.path)

   注記

   異なる JSON 構造に合わせて jq コマンドを調整する必要がある場合があります。

   1. (オプション) 脆弱性スキャンタスクがない場合は、次の形式で作成します。

      Roxctl を使用した脆弱性スキャンタスクの例

      apiVersion: tekton.dev/v1
      kind: Task
      metadata:
        name: vulnerability-scan  1
        annotations:
          task.output.location: results  2
          task.results.format: application/json
          task.results.key: SCAN_OUTPUT  3
      spec:
        results:
          - description: CVE result format  4
            name: SCAN_OUTPUT
        steps:
          - name: roxctl  5
            image: quay.io/roxctl-tool-image  6
            env:
              - name: ENV_VAR_NAME_1  7
                valueFrom:
                  secretKeyRef:
                    key: secret_key_1
                    name: secret_name_1
            env:
              - name: ENV_VAR_NAME_2
                valueFrom:
                  secretKeyRef:
                    key: secret_key_2
                    name: secret_name_2
            script: | 8
              #!/bin/sh
      
              # Sample shell script
      
              echo "ENV_VAR_NAME_1: " $ENV_VAR_NAME_1
              echo "ENV_VAR_NAME_2: " $ENV_VAR_NAME_2
              jq --version (adjust the jq command for different JSON structures)
              curl -k -L -H "Authorization: Bearer $ENV_VAR_NAME_1" https://$ENV_VAR_NAME_2/api/cli/download/roxctl-linux --output ./roxctl
              chmod +x ./roxctl
              echo "roxctl version"
              ./roxctl version
              echo "image from pipeline: "
      
              # Replace the following line with your dynamic image logic
              DYNAMIC_IMAGE=$(get_dynamic_image_logic_here)
              echo "Dynamic image: $DYNAMIC_IMAGE"
              ./roxctl image scan --insecure-skip-tls-verify -e $ENV_VAR_NAME_2 --image $DYNAMIC_IMAGE --output json  > roxctl_output.json
              more roxctl_output.json
              jq -rce \  9
                '{vulnerabilities:{
                critical: (.result.summary.CRITICAL),
                high: (.result.summary.IMPORTANT),
                medium: (.result.summary.MODERATE),
                low: (.result.summary.LOW)
                  }}' scan_output.json | tee $(results.SCAN_OUTPUT.path)

      1

      タスクの名前。

      2

      タスク出力を保存する場所。

      3

      スキャンタスク結果の命名規則。有効な命名規則は、SCAN_OUTPUT 文字列で終わる必要があります。たとえば、SCAN_OUTPUT、MY_CUSTOM_SCAN_OUTPUT、ACS_SCAN_OUTPUT などです。

      4

      結果の説明。

      5

      使用した脆弱性スキャンツールの名前。

      6

      スキャンツールを含む実際のイメージの場所。

      7

      ツール固有の環境変数。

      8

      json 出力で実行されるシェルスクリプト。たとえば、scan_output.json などです。

      9

      脆弱性の概要を抽出する形式 (さまざまな JSON 構造に合わせて jq コマンドを調整します)。

      注記

      これは設定例です。結果を必要とされる形式で設定するには、特定のスキャンツールに合わせて値を変更します。

3. 適切なパイプラインを更新して、次の形式で脆弱性の仕様を追加します。

   ...
   spec:
     results:
       - description: The common vulnerabilities and exposures (CVE) result
         name: SCAN_OUTPUT
         value: $(tasks.vulnerability-scan.results.SCAN_OUTPUT)