第2章 Web コンソールで OpenShift Pipelines を設定してソフトウェアサプライチェーンのセキュリティー要素を表示する方法

手順

1. 開発者 または 管理者 のパースペクティブで、脆弱性を視覚的に表現する関連プロジェクトに切り替えます。

2. 既存の脆弱性スキャンタスクを更新して、出力が .json ファイルに保存され、次の形式で脆弱性の概要が抽出されるようにします。

   # The format to extract vulnerability summary (adjust the jq command for different JSON structures).
   jq -rce \
       '{vulnerabilities:{
         critical: (.result.summary.CRITICAL),
         high: (.result.summary.IMPORTANT),
         medium: (.result.summary.MODERATE),
         low: (.result.summary.LOW)
         }}' scan_output.json | tee $(results.SCAN_OUTPUT.path)

   注記

   異なる JSON 構造に合わせて jq コマンドを調整する必要がある場合があります。

   1. (オプション) 脆弱性スキャンタスクがない場合は、次の形式で作成します。

      Roxctl を使用した脆弱性スキャンタスクの例

      apiVersion: tekton.dev/v1
      kind: Task
      metadata:
        name: vulnerability-scan  1
        annotations:
          task.output.location: results  2
          task.results.format: application/json
          task.results.key: SCAN_OUTPUT  3
      spec:
        params:
          - description: Image to be scanned
            name: image
            type: string
        results:
          - description: CVE result format  4
            name: SCAN_OUTPUT
        steps:
          - name: roxctl
            image: 'quay.io/lrangine/crda-maven:11.0'  5
            env:
              - name: ROX_CENTRAL_ENDPOINT
                valueFrom:
                  secretKeyRef:
                    key: rox_central_endpoint    6
                    name: roxsecrets
              - name: ROX_API_TOKEN
                valueFrom:
                  secretKeyRef:
                    key: rox_api_token   7
                    name: roxsecrets
      
            name: roxctl-scan
            script: | 8
              #!/bin/sh
              curl -k -L -H "Authorization: Bearer $ROX_API_TOKEN" https://$ROX_CENTRAL_ENDPOINT/api/cli/download/roxctl-linux --output ./roxctl
              chmod +x ./roxctl
              ./roxctl image scan --insecure-skip-tls-verify -e $ROX_CENTRAL_ENDPOINT --image $(params.image) --output json  > roxctl_output.json
              jq -rce \
              "{vulnerabilities:{
              critical: (.result.summary.CRITICAL),
              high: (.result.summary.IMPORTANT),
              medium: (.result.summary.MODERATE),
              low: (.result.summary.LOW)
              }}" roxctl_output.json | tee $(results.SCAN_OUTPUT.path)

      1

      タスクの名前。

      2

      タスク出力を保存する場所。

      3

      スキャンタスク結果の命名規則。有効な命名規則は、SCAN_OUTPUT 文字列で終わる必要があります。たとえば、SCAN_OUTPUT、MY_CUSTOM_SCAN_OUTPUT、ACS_SCAN_OUTPUT などです。

      4

      結果の説明。

      5

      スキャンツールを実行するコンテナーイメージの場所です。

      6

      Advanced Cluster Security for Kubernetes (ACS) から取得した rox_central_endpoint キー。

      7

      ACS から取得した rox_api_token。

      8

      シェルスクリプトは脆弱性スキャンを実行し、タスク実行結果にスキャン出力を設定します。

   注記

   これは設定例です。結果を必要とされる形式で設定するには、特定のスキャンツールに合わせて値を変更します。

3. 適切なパイプラインを更新して、次の形式で脆弱性の仕様を追加します。

   ...
   spec:
     results:
       - description: The common vulnerabilities and exposures (CVE) result
         name: SCAN_OUTPUT
         value: $(tasks.vulnerability-scan.results.SCAN_OUTPUT)