第 2 章 在 web 控制台中设置 OpenShift Pipelines 以查看软件交换链安全元素

流程

1. 在 Developer 或 Administrator 视角中，切换到您希望漏洞视觉表示的相关项目。

2. 更新您的现有漏洞扫描任务，以确保它将输出存储在 .json 文件中，然后以以下格式提取漏洞概述：

   # The format to extract vulnerability summary (adjust the jq command for different JSON structures).
   jq -rce \
       '{vulnerabilities:{
         critical: (.result.summary.CRITICAL),
         high: (.result.summary.IMPORTANT),
         medium: (.result.summary.MODERATE),
         low: (.result.summary.LOW)
         }}' scan_output.json | tee $(results.SCAN_OUTPUT.path)

   Copy to Clipboard Toggle word wrap
   注意

   您可能需要为不同的 JSON 结构调整 jq 命令。

   1. （可选）如果您没有漏洞扫描任务，以以下格式创建一个：

      使用 Roxctl 的漏洞扫描任务示例

      apiVersion: tekton.dev/v1
      kind: Task
      metadata:
        name: vulnerability-scan  

      1

      
        annotations:
          task.output.location: results  

      2

      
          task.results.format: application/json
          task.results.key: SCAN_OUTPUT  

      3

      
      spec:
        results:
          - description: CVE result format  

      4

      
            name: SCAN_OUTPUT
        steps:
          - name: roxctl  

      5

      
            image: quay.io/roxctl-tool-image  

      6

      
            env:
              - name: ENV_VAR_NAME_1  

      7

      
                valueFrom:
                  secretKeyRef:
                    key: secret_key_1
                    name: secret_name_1
            env:
              - name: ENV_VAR_NAME_2
                valueFrom:
                  secretKeyRef:
                    key: secret_key_2
                    name: secret_name_2
            script: | 

      8

      
              #!/bin/sh
      
              # Sample shell script
      
              echo "ENV_VAR_NAME_1: " $ENV_VAR_NAME_1
              echo "ENV_VAR_NAME_2: " $ENV_VAR_NAME_2
              jq --version (adjust the jq command for different JSON structures)
              curl -k -L -H "Authorization: Bearer $ENV_VAR_NAME_1" https://$ENV_VAR_NAME_2/api/cli/download/roxctl-linux --output ./roxctl
              chmod +x ./roxctl
              echo "roxctl version"
              ./roxctl version
              echo "image from pipeline: "
      
              # Replace the following line with your dynamic image logic
              DYNAMIC_IMAGE=$(get_dynamic_image_logic_here)
              echo "Dynamic image: $DYNAMIC_IMAGE"
              ./roxctl image scan --insecure-skip-tls-verify -e $ENV_VAR_NAME_2 --image $DYNAMIC_IMAGE --output json  > roxctl_output.json
              more roxctl_output.json
              jq -rce \  

      9

      
                '{vulnerabilities:{
                critical: (.result.summary.CRITICAL),
                high: (.result.summary.IMPORTANT),
                medium: (.result.summary.MODERATE),
                low: (.result.summary.LOW)
                  }}' scan_output.json | tee $(results.SCAN_OUTPUT.path)

      Copy to Clipboard Toggle word wrap

      1

      任务的名称。

      2

      存储任务输出的位置。

      3

      扫描任务结果的命名规则。有效的命名规则必须以 SCAN_OUTPUT 字符串结尾。例如，SCAN_OUTPUT、MY_CUSTOM_SCAN_OUTPUT 或 ACS_SCAN_OUTPUT。

      4

      结果的描述。

      5

      已使用的漏洞扫描工具的名称。

      6

      包含扫描工具的实际镜像的位置。

      7

      特定于工具的环境变量。

      8

      使用 json 输出执行的 shell 脚本。例如，scan_output.json。

      9

      提取漏洞摘要的格式（用于不同 JSON 结构的adjust jq 命令）。

      注意

      这是示例配置。根据您的特定扫描工具修改值，以预期格式设置结果。

3. 更新适当的 Pipeline 以以下格式添加漏洞规格：

   ...
   spec:
     results:
       - description: The common vulnerabilities and exposures (CVE) result
         name: SCAN_OUTPUT
         value: $(tasks.vulnerability-scan.results.SCAN_OUTPUT)

   Copy to Clipboard Toggle word wrap