As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Integrando escaneamentos do Amazon Inspector em seu pipeline CI/CD
A CI/CD integração com o Amazon Inspector utiliza o Amazon Inspector SBOM Generator e a API Amazon Inspector Scan para produzir relatórios de vulnerabilidade para imagens de contêineres. O Amazon Inspector SBOM Generator cria uma lista de materiais de software (SBOM) para arquivos, imagens de contêiner, diretórios, sistemas locais e binários Go e Rust compilados. A API Amazon Inspector Scan verifica a SBOM para criar um relatório com detalhes das vulnerabilidades detectadas. Você pode integrar escaneamentos de imagens de contêineres do Amazon Inspector ao seu CI/CD pipeline para verificar vulnerabilidades de software e produzir relatórios de vulnerabilidade, que permitem investigar e corrigir riscos antes da implantação. Para configurar sua CI/CD integração, você pode usar plug-ins ou criar uma CI/CD integração personalizada usando o Amazon Inspector SBOM Generator e a API Amazon Inspector Scan.
**Topics**
+ [Integração de plug-in](#plugin-integration)
+ [Integração personalizada](#custom-integration)
+ [Configurando uma AWS conta para usar a integração com o Amazon Inspector CI/CD](configure-cicd-account.md)
+ [Verificações do Amazon Inspector para Dockerfile](dockerfile-checks.md)
+ [Criação de uma integração de CI/CD pipeline personalizada com o Amazon Inspector Scan](cicd-custom.md)
+ [Como usar o plug-in Jenkins do Amazon Inspector](cicd-jenkins.md)
+ [Como usar o plug-in TeamCity do Amazon Inspector](cicd-teamcity.md)
+ [Usar o Amazon Inspector com ações do GitHub](cicd-inspector-github-actions.md)
+ [Usar o Amazon Inspector com componentes do GitLab](cicd-inspector-gitlab-components.md)
+ [Usar ações do CodeCatalyst com o Amazon Inspector](cicd-inspector-codecatalyst-actions.md)
+ [Usando ações do Amazon Inspector Scan com CodePipeline](cicd-inspector-codepipeline-actions.md)
## Integração de plug-in
O Amazon Inspector fornece plug-ins para soluções compatíveis CI/CD . Você pode instalar os plug-ins dos respectivos marketplaces e usar para adicionar o Amazon Inspector Scans como uma etapa de criação no pipeline. A etapa de criação do plug-in executa o Amazon Inspector SBOM Generator na imagem fornecida e a API Amazon Inspector Scan no SBOM gerado.
A seguir está uma visão geral de como uma CI/CD integração com o Amazon Inspector funciona por meio de plug-ins:
1. Você configura um Conta da AWS para permitir o acesso à API Amazon Inspector Scan. Para instruções, consulte [Configurando uma AWS conta para usar a integração com o Amazon Inspector CI/CD](configure-cicd-account.md).
1. Você instala o plug-in Amazon Inspector do marketplace.
1. Você instala e configura o binário do Amazon Inspector SBOM Generator. Para instruções, consulte [Amazon Inspector SBOM Generator](sbom-generator.md).
1. Você adiciona o Amazon Inspector Scans como uma etapa de construção em seu CI/CD pipeline e configura o escaneamento.
1. Ao executar uma compilação, o plug-in usa a imagem do contêiner como entrada e executa o Amazon Inspector SBOM Generator na imagem para gerar um SBOM compatível com CycloneDX.
1. A partir daí, o plug-in envia o SBOM gerado para um endpoint da API Amazon Inspector Scan, que avalia cada componente do SBOM em busca de vulnerabilidades.
1. Com a resposta da API Amazon Inspector Scan, é criado um relatório de vulnerabilidade nos formatos CSV, SBOM JSON e HTML. O relatório contém detalhes sobre todas as vulnerabilidades encontradas pelo Amazon Inspector.
### CI/CD Soluções suportadas
Atualmente, o Amazon Inspector oferece suporte às seguintes CI/CD soluções. Para obter instruções completas sobre como configurar a CI/CD integração usando um plug-in, selecione o plug-in para sua solução de CI/CD:
+ [Plug-in Jenkins](cicd-jenkins.md)
+ [Plug-in do TeamCity](cicd-teamcity.md)
+ [GitHub actions](https://docs.aws.amazon.com/inspector/latest/user/cicd-inspector-github-actions.html)
## Integração personalizada
Se o Amazon Inspector não fornecer plug-ins para sua CI/CD solução, você poderá criar sua própria CI/CD integração personalizada usando uma combinação do Amazon Inspector SBOM Generator e da API Amazon Inspector Scan. Você também pode usar uma integração personalizada para ajustar as verificações usando as opções disponíveis no Amazon Inspector SBOM Generator.
A seguir está uma visão geral de como funciona uma CI/CD integração personalizada com o Amazon Inspector:
1. Você configura um Conta da AWS para permitir o acesso à API Amazon Inspector Scan. Para instruções, consulte [Configurando uma AWS conta para usar a integração com o Amazon Inspector CI/CD](configure-cicd-account.md).
1. Você instala e configura o binário do Amazon Inspector SBOM Generator. Para instruções, consulte [Amazon Inspector SBOM Generator](sbom-generator.md).
1. Você usa o Amazon Inspector SBOM Generator para gerar um SBOM compatível com o CycloneDX para a imagem de contêiner.
1. Você usa a API Amazon Inspector Scan no SBOM gerado para criar um relatório de vulnerabilidade.
Para obter instruções sobre como configurar uma integração personalizada, consulte [Criação de uma integração de CI/CD pipeline personalizada com o Amazon Inspector Scan](cicd-custom.md).
# Configurando uma AWS conta para usar a integração com o Amazon Inspector CI/CD
Para usar a CI/CD integração com o Amazon Inspector, você deve se inscrever em um. Conta da AWS Eles Conta da AWS devem ter uma função do IAM que conceda ao seu CI/CD pipeline acesso à API do Amazon Inspector Scan. Conclua as tarefas nos tópicos a seguir para se inscrever Conta da AWS, criar um usuário administrador e configurar uma função do IAM para CI/CD integração.
**nota**
Se você já se inscreveu em um Conta da AWS, você pode pular para[Configurar uma função do IAM para CI/CD integração](#cicd-iam-role).
**Topics**
+ [Inscreva-se para um Conta da AWS](#sign-up-for-aws)
+ [Criar um usuário com acesso administrativo](#create-an-admin)
+ [Configurar uma função do IAM para CI/CD integração](#cicd-iam-role)
## Inscreva-se para um Conta da AWS
Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.
**Para se inscrever em um Conta da AWS**
1. Abra a [https://portal.aws.amazon.com/billing/inscrição.](https://portal.aws.amazon.com/billing/signup)
1. Siga as instruções online.
Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.
Quando você se inscreve em um Conta da AWS, um *Usuário raiz da conta da AWS*é criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar [tarefas que exigem acesso de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando [https://aws.amazon.com/e](https://aws.amazon.com/) escolhendo **Minha conta**.
## Criar um usuário com acesso administrativo
Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS Centro de Identidade do AWS IAM, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.
**Proteja seu Usuário raiz da conta da AWS**
1. Faça login [Console de gerenciamento da AWS](https://console.aws.amazon.com/)como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
Para obter ajuda ao fazer login usando o usuário-raiz, consulte [Fazer login como usuário-raiz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) no *Guia do usuário do Início de Sessão da AWS *.
1. Habilite a autenticação multifator (MFA) para o usuário-raiz.
Para obter instruções, consulte [Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) do *usuário do IAM*.
**Criar um usuário com acesso administrativo**
1. Habilita o Centro de Identidade do IAM.
Para obter instruções, consulte [Habilitar o Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.
Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte [Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) no *Guia Centro de Identidade do AWS IAM do usuário*.
**Iniciar sessão como o usuário com acesso administrativo**
+ Para fazer login com o seu usuário do Centro de Identidade do IAM, use o URL de login enviado ao seu endereço de e-mail quando o usuário do Centro de Identidade do IAM foi criado.
Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como [fazer login no portal de AWS acesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) no *Guia Início de Sessão da AWS do usuário*.
**Atribuir acesso a usuários adicionais**
1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.
Para obter instruções, consulte [Criar um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
1. Atribua usuários a um grupo e, em seguida, atribua o acesso de logon único ao grupo.
Para obter instruções, consulte [Adicionar grupos](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
## Configurar uma função do IAM para CI/CD integração
Para integrar o escaneamento do Amazon Inspector ao seu CI/CD pipeline, você precisa criar uma política do IAM que permita o acesso à API do Amazon Inspector Scan que escaneia a lista de materiais do software (). SBOMs Em seguida, você pode anexar essa política ao perfil do IAM que sua conta pode assumir para executar a API Amazon Inspector Scan.
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, selecione **Políticas** e **Criar políticas**.
1. Em **Policy Editor** selecione **JSON** e cole a seguinte instrução:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "inspector-scan:ScanSbom",
"Resource": "*"
}
]
}
```
------
1. Escolha **Próximo**.
1. Dê um nome à política, por exemplo `InspectorCICDscan-policy`, adicione uma descrição opcional e selecione **Criar política**. Essa política será anexada à função que você criará nas próximas etapas.
1. No painel de navegação do console do IAM, selecione **Funções** e selecione **Criar nova função**.
1. Em **Tipo de entidade confiável**, selecione **Política de confiança personalizada** e insira a seguinte política JSON:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Escolha **Próximo**.
1. Na página **Adicionar permissões**, procure e selecione a política criada anteriormente, depois selecione **Próximo**.
1. Dê um nome ao perfil, por exemplo `InspectorCICDscan-role`, adicione uma descrição opcional e selecione `Create Role`.
# Verificações do Amazon Inspector para Dockerfile
Esta seção descreve como usar o Amazon Inspector SBOM Generator para verificar Dockerfiles e imagens de contêiner do Docker em busca de configurações incorretas que apresentam vulnerabilidades de segurança.
**Topics**
+ [Usar verificações do Sbomgen para Dockerfile](#w2aac39c13b7)
+ [Verificações do Dockerfile compatíveis](#w2aac39c13b9)
## Usar verificações do Sbomgen para Dockerfile
As verificações do Dockerfile são conduzidas automaticamente quando um arquivo chamado `Dockerfile` ou `*.Dockerfile` é descoberto e quando uma imagem do Docker é verificada.
Você pode desativar as verificações do Dockerfile usando o argumento `--skip-scanners dockerfile`. Você também pode combinar as verificações do Dockerfile com qualquer verificador disponível, como pacotes do sistema operacional ou de terceiros.
**Exemplos de comandos de verificação do Docker**
Os comandos de exemplo a seguir mostram como gerar imagens de contêiner SBOMs para Dockerfiles e Docker, bem como para pacotes de sistemas operacionais e de terceiros.
```
# generate SBOM only containing Docker checks for Dockerfiles in a local directory
./inspector-sbomgen directory --path ./project/ --scanners dockerfile
# generate SBOM for container image will by default include Dockerfile checks
./inspector-sbomgen container --image image:tag
# generate SBOM only containing Docker checks for specific Dockerfiles and Alpine, Debian, and Rhel OS packages in a local directory
/inspector-sbomgen directory --path ./project/ --scanners dockerfile,dpkg,alpine-apk,rhel-rpm
# generate SBOM only containing Docker checks for specific Dockerfiles in a local directory
./inspector-sbomgen directory --path ./project/ --skip-scanners dockerfile
```
**Exemplo de componente do arquivo**
Veja a seguir um exemplo de uma descoberta do Dockerfile para um componente do arquivo.
```
{
"bom-ref": "comp-2",
"name": "dockerfile:data/docker/Dockerfile",
"properties": [
{
"name": "amazon:inspector:sbom_scanner:dockerfile_finding:IN-DOCKER-001",
"value": "affected_lines:27-27"
}
],
"type": "file"
},
```
**Exemplo de componente de resposta à vulnerabilidade**
Veja a seguir um exemplo de uma descoberta do Dockerfile para um componente de resposta à vulnerabilidade.
```
{
"advisories": [
{
"url": "https://docs.docker.com/develop/develop-images/instructions/"
}
],
"affects": [
{
"ref": "comp-2"
}
],
"analysis": {
"state": "in_triage"
},
"bom-ref": "vuln-13",
"created": "2024-03-27T14:36:39Z",
"description": "apt-get layer caching: Using apt-get update alone in a RUN statement causes caching issues and subsequent apt-get install instructions to fail.",
"id": "IN-DOCKER-001",
"ratings": [
{
"method": "other",
"severity": "info",
"source": {
"name": "AMAZON_INSPECTOR",
"url": "https://aws.amazon.com/inspector/"
}
}
],
"source": {
"name": "AMAZON_INSPECTOR",
"url": "https://aws.amazon.com/inspector/"
},
"updated": "2024-03-27T14:36:39Z"
},
```
**nota**
Se você invocar Sbomgen sem o sinalizador `--scan-sbom`, só poderá visualizar as descobertas brutas do Dockerfile.
## Verificações do Dockerfile compatíveis
As verificações Sbomgen do Dockerfile são compatíveis com o seguinte:
+ O pacote binário Sudo
+ Utilitários APT do Debian
+ Segredos diretamente codificados
+ Contêineres raiz
+ Sinalizadores de comando que enfraquecem o runtime
+ Variáveis de ambiente que enfraquecem o runtime
Cada uma dessas verificações do Dockerfile tem uma classificação de severidade correspondente, que é anotada na parte superior dos tópicos a seguir.
**nota**
As recomendações descritas nos tópicos a seguir se baseiam nas práticas recomendadas do setor.
### O pacote binário Sudo
**nota**
A classificação de severidade dessa verificação é **Informações**.
Recomendamos não instalar ou usar o pacote binário Sudo porque ele tem um comportamento imprevisível de TTY e encaminhamento de sinal. Para ter mais informações, consulte [User](https://docs.docker.com/build/building/best-practices/#user) no site Docker Docs. Se seu caso de uso exigir uma funcionalidade semelhante ao pacote binário Sudo, recomendamos usar o [Gosu](https://github.com/tianon/gosu).
### Utilitários APT do Debian
**nota**
A classificação de severidade dessa verificação é **Alta**.
Estas são as práticas recomendadas para usar os utilitários APT do Debian.
**Combinar comandos `apt-get` em uma única instrução `Run` para evitar problemas de cache**
Recomendamos combinar comandos `apt-get` em uma única instrução RUN dentro do seu contêiner do Docker. Usar `apt-get update` por si só resulta em problemas de cache e falhas nas instruções `apt-get install` subsequentes. Para ter mais informações, consulte [apt-get](https://docs.docker.com/build/building/best-practices/#apt-get) no site Docker Docs.
**nota**
O comportamento de armazenamento em cache descrito também pode ocorrer dentro do seu contêiner do Docker se o software do contêiner do Docker estiver desatualizado.
**Usar o utilitário APT de linha de comando de forma não interativa**
Recomendamos usar o utilitário APT de linha de comando de forma interativa. O utilitário APT de linha de comando foi projetado como uma ferramenta para o usuário final e seu comportamento muda entre as versões. Para ter mais informações, consulte [Script Usage and differences from other APT tools](https://manpages.debian.org/stretch/apt/apt.8.en.html#SCRIPT_USAGE_AND_DIFFERENCES_FROM_OTHER_APT_TOOLS) no site do Debian.
### Segredos diretamente codificados
**nota**
A classificação de severidade dessa verificação é **Crítica**.
As informações confidenciais em seu Dockerfile são consideradas um segredo diretamente codificado. Os seguintes segredos diretamente codificados podem ser identificados por meio de verificações de arquivos Sbomgen do Docker:
+ AWS chave de acesso IDs — `AKIAIOSFODNN7EXAMPLE`
+ AWS chaves secretas — `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ DockerHub tokens de acesso pessoal — `dckr_pat_thisisa27charexample1234567`
+ GitHub tokens de acesso pessoal — `ghp_examplev61wY7Pj1YnotrealUoY123456789`
+ GitLab tokens de acesso pessoal — `glpat-12345example12345678`
### Contêineres raiz
**nota**
O marcador de severidade dessa verificação é **Informações**.
Recomendamos executar contêineres do Docker sem privilégios raiz. Para workloads em contêineres que não podem ser executadas sem privilégios raiz, recomendamos criar suas aplicações usando um princípio com a menor quantidade de privilégios. Para ter mais informações, consulte [User](https://docs.docker.com/build/building/best-practices/#user) no site Docker Docs.
### Variáveis de ambiente que enfraquecem o runtime
**nota**
A classificação de severidade dessa verificação é **Alta**.
Vários utilitários de linha de comando ou runtimes de linguagens de programação são compatíveis para contornar padrões seguros, o que permite a execução por meio de métodos inseguros.
**NODE\$1TLS\$1REJECT\$1UNAUTHORIZED=0**
Quando os processos Node.js são executados com `NODE_TLS_REJECT_UNAUTHORIZED` definido como `0`, a validação do certificado TLS é desativada. Para ter mais informações, consulte [NODE\$1TLS\$1REJECT\$1UNAUTHORIZED=0](https://nodejs.org/api/cli.html#node_tls_reject_unauthorizedvalue) no site do Node.js.
**GIT\$1SSL\$1NO\$1VERIFY=\$1**
Quando os processos de linha de comando do git são executados com `GIT_SSL_NO_VERIFY` definido, o Git ignora a verificação dos certificados TLS. Para ter mais informações, consulte [Environment variables](https://git-scm.com/book/en/v2/Git-Internals-Environment-Variables) no site do Git.
**PIP\$1TRUSTED\$1HOST=\$1**
Quando os processos de linha de comando de pip Python são executados com `PIP_TRUSTED_HOST` definido, o Pip ignora a verificação dos certificados TLS no domínio especificado. Para ter mais informações, consulte [--trusted-host](https://pip.pypa.io/en/stable/cli/pip/#cmdoption-trusted-host) no site do Pip.
**NPM\$1CONFIG\$1STRICT\$1SSL=false**
Quando os processos da linha de comando de npm Node.js são executados com `NPM_CONFIG_STRICT_SSL` definido como falso, o utilitário Node Package Manager (npm) se conecta ao registro do NPM sem validar os certificados TLS. Para ter mais informações, consulte [strict-ssl](https://docs.npmjs.com/cli/v10/using-npm/config#strict-ssl) no site npm Docs.
### Sinalizadores de comando que enfraquecem o runtime
**nota**
A classificação de severidade dessa verificação é **Alta**.
Semelhante às variáveis de ambiente que enfraquecem o runtime, vários utilitários de linha de comando ou runtimes de linguagens de programação são compatíveis para contornar padrões seguros, o que permite a execução por meio de métodos inseguros.
**`npm ––strict-ssl=false`**
Quando os processos da linha de comando do Node.js são executados com o sinalizador `--strict-ssl=false`, o utilitário Node Package Manager (npm) se conecta ao registro do NPM sem validar os certificados TLS. Para ter mais informações, consulte [strict-ssl](https://docs.npmjs.com/cli/v10/using-npm/config#strict-ssl) no site npm Docs.
**`apk ––allow-untrusted`**
Quando o utilitário Alpine Package Keeper é executado com o sinalizador `--allow-untrusted`, `apk` instalará pacotes sem assinaturas ou assinaturas não confiáveis. Para ter mais informações, consulte [este repositório](https://gitlab.alpinelinux.org/alpine/apk-tools/-/blob/f9eaeb6429325eeb5a17ed771fd477be9227fe15/doc/apk.8.scd#L114-115) no site do Alpine.
**`apt-get ––allow-unauthenticated`**
Quando o utilitário de pacotes `apt-get` do Debian é executado com o sinalizador `--allow-unauthenticated`, `apt-get` não verifica a validade do pacote. Para ter mais informações, consulte [APT-Get(8)](https://manpages.debian.org/stretch/apt/apt-get.8.en.html) no site do Debian.
**`pip ––trusted-host`**
Quando o utilitário de pip Python é executado com o sinalizador `--trusted-host`, o nome do host especificado ignorará a validação do certificado TLS. Para ter mais informações, consulte [--trusted-host](https://pip.pypa.io/en/stable/cli/pip/#cmdoption-trusted-host) no site do Pip.
**`rpm ––nodigest, ––nosignature, ––noverify, ––nofiledigest`**
Quando o gerenciador de pacotes `rpm` baseado em RPM é executado com os sinalizadores `--nodigest`, `--nosignature`, `--noverify` e `--nofiledigest`, o gerenciador de pacotes RPM não valida cabeçalhos, assinaturas ou arquivos de pacotes ao instalar um pacote. Para ter mais informações, consulte [esta página de manual do RPM](https://rpm-software-management.github.io/rpm/man/) no site do RPM.
**`yum-config-manager ––setopt=sslverify false`**
Quando o gerenciador de pacotes baseado em RPM `yum-config-manager` é executado com o sinalizador `--setopt=sslverify` definido como falso, o gerenciador de pacotes YUM não valida os certificados TLS. Para ter mais informações, consulte [esta página de manual do YUM](https://man7.org/linux/man-pages/man5/yum.conf.5.html) no site do Man7.
**`yum ––nogpgcheck`**
Quando o gerenciador de pacotes baseado em RPM `yum` é executado com o sinalizador `--nogpgcheck`, o gerenciador de pacotes YUM ignora a verificação das assinaturas GPG nos pacotes. Para ter mais informações, consulte [yum(8)](https://man7.org/linux/man-pages/man8/yum.8.html) no site do Man7.
**`curl ––insecure, curl –k`**
Quando o `curl` é executado com os sinalizadores `--insecure` ou `-k`, a validação do certificado TLS é desativada. Por padrão, todas as conexões seguras que o `curl` faz são verificadas como seguras antes que a transferência ocorra. Essa opção faz com que o `curl` pule a etapa de verificação e prossiga sem verificar. Para ter mais informações, consulte [esta página de manual do Curl](https://curl.se/docs/manpage.html#-k) no site do Curl.
**`wget ––no-check-certificate`**
Quando o `wget` é executado com o sinalizador `--no-check-certificate`, a validação do certificado TLS é desativada. Para ter mais informações, consulte [esta página de manual do Wget](https://www.gnu.org/software/wget/manual/wget.html#index-SSL-certificate_002c-check) no site do GNU.
### Verificações de remoção de bancos de dados de pacotes do sistema operacional em contêineres
**nota**
A classificação de severidade dessa verificação é **Informações**.
A remoção de um banco de dados de pacotes do sistema operacional reduz a capacidade de verificar o inventário completo do software de uma imagem de contêiner. Esses bancos de dados devem ser deixados intactos durante as etapas de compilação do contêiner.
As verificações de remoção de um banco de dados de pacotes do sistema operacional são compatíveis com os seguintes gerenciadores de pacotes:
**Alpine Package Keeper (APK)**
As imagens de contêiner que utilizam o gerenciador de pacotes do APK para o software instalado devem garantir que os arquivos do sistema do APK não sejam removidos durante a compilação. Para obter mais informações, consulte a documentação dos arquivos do sistema de [páginas de manual do APK](https://man.archlinux.org/man/apk.8.en#System_files) no site do Arch Linux.
**Debian Package Manager (DPKG)**
Os contêineres que utilizam o gerenciador de pacotes DPKG, como imagens baseadas em Debian, Ubuntu ou Distroless, devem garantir que o banco de dados do DPKG não seja removido durante a construção do contêiner. Consulte mais informações na documentação dos arquivos do sistema de [páginas de manual do DPKG](https://manpages.ubuntu.com/manpages/trusty/man1/dpkg.1.html#files) no site do Ubuntu.
**RPM Package Manager (RPM)**
Os contêineres que utilizam o RPM Package Manager (yum/dnf), como Amazon Linux ou Red Hat Enterprise Linux, devem garantir que o banco de dados do RPM não seja removido durante a criação do contêiner. Consulte mais informações na documentação dos arquivos do sistema de [páginas de manual do RPM](https://rpm-software-management.github.io/rpm/man/rpm-common.8#FILES) no site do RPM.
# Criação de uma integração de CI/CD pipeline personalizada com o Amazon Inspector Scan
Recomendamos que você use os plug-ins do [Amazon Inspector se os CI/CD plug-ins](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html) do Amazon CI/CD Inspector estiverem disponíveis para sua solução. CI/CD Se os CI/CD plug-ins do Amazon Inspector não estiverem disponíveis para sua CI/CD solução, você pode usar uma combinação do Amazon Inspector SBOM Generator e da API Amazon Inspector Scan para criar uma integração personalizada. CI/CD As etapas a seguir descrevem como criar uma integração de CI/CD pipeline personalizada com o Amazon Inspector Scan.
**dica**
Você pode usar o [Amazon Inspector SBOM Generator (Sbomgen)](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html#install-sbomgen) para pular as etapas 3 e 4 se quiser [gerar e verificar sua SBOM em um único comando](https://docs.aws.amazon.com/inspector/latest/user/cicd-custom.html#generate-scan-sbom.html).
## Etapa 1. Configurando Conta da AWS
Configure um Conta da AWS que forneça acesso à API Amazon Inspector Scan. Para obter mais informações, consulte [Configurando uma AWS conta para usar a integração com o Amazon Inspector CI/CD](configure-cicd-account.md).
## Etapa 2. Instalar o binário Sbomgen
Instale e configurar o binário Sbomgen. Para obter mais informações, consulte [Instalar o Sbomgen](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html#install-sbomgen).
## Etapa 3. Usar o Sbomgen
Use o Sbomgen para criar um arquivo SBOM para uma imagem de contêiner que você deseja verificar.
Você pode usar o seguinte exemplo. Substitua *`image:id`* pelo nome da imagem que você deseja verificar. Substitua *`sbom_path.json`* pelo local onde deseja salvar a saída da SBOM.
**Exemplo**
`./inspector-sbomgen container --image image:id -o sbom_path.json`
## Etapa 4: Chamar a API Amazon Inspector Scan
Considere usar a API `inspector-scan` para verificar o SBOM gerado e fornecer um relatório de vulnerabilidade.
Você pode usar o seguinte exemplo. *sbom\$1path.json*Substitua pela localização de um arquivo SBOM válido compatível com o CycloneDX. *ENDPOINT*Substitua pelo endpoint da API do Região da AWS local em que você está autenticado no momento. *REGION*Substitua pela região correspondente.
**Exemplo**
`aws inspector-scan scan-sbom --sbom file://sbom_path.json --endpoint ENDPOINT-URL --region REGION`
Para obter uma lista completa de endpoints Regiões da AWS e endpoints, consulte [Regiões e endpoints](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#inspector-scan-endpoints).
## (Opcional) Etapa 5. Gerar e verificar a SBOM em um único comando
**nota**
Conclua esta etapa somente se você pulou as etapas 3 e 4.
Gerar e verificar a SBOM em um único comando usando o sinalizador `--scan-bom`.
Você pode usar o seguinte exemplo. Substitua *`image:id`* pelo nome da imagem que você quer verificar. *profile*Substitua pelo perfil correspondente. *REGION*Substitua pela região correspondente. */tmp/scan.json*Substitua pela localização do arquivo scan.json no diretório tmp.
**Exemplo**
`./inspector-sbomgen container --image image:id --scan-sbom --aws-profile profile --aws-region REGION -o /tmp/scan.json`
Para obter uma lista completa de endpoints Regiões da AWS e endpoints, consulte [Regiões e endpoints](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#inspector-scan-endpoints).
## Formatos de saída da API
A API Amazon Inspector Scan pode gerar um relatório de vulnerabilidade no formato CycloneDX 1.5 ou no formato JSON de descobertas do Amazon Inspector. O padrão pode ser alterado usando o sinalizador `--output-format`.
### Exemplo de saída no formato CycloneDX 1.5 - Linux
```
{
"status": "SBOM parsed successfully, 1 vulnerabilities found",
"sbom": {
"bomFormat": "CycloneDX",
"specVersion": "1.5",
"serialNumber": "urn:uuid:0077b45b-ff1e-4dbb-8950-ded11d8242b1",
"metadata": {
"properties": [
{
"name": "amazon:inspector:sbom_scanner:critical_vulnerabilities",
"value": "1"
},
{
"name": "amazon:inspector:sbom_scanner:high_vulnerabilities",
"value": "0"
},
{
"name": "amazon:inspector:sbom_scanner:medium_vulnerabilities",
"value": "0"
},
{
"name": "amazon:inspector:sbom_scanner:low_vulnerabilities",
"value": "0"
}
],
"tools": [
{
"name": "CycloneDX SBOM API",
"vendor": "Amazon Inspector",
"version": "empty:083c9b00:083c9b00:083c9b00"
}
],
"timestamp": "2023-06-28T14:15:53.760Z"
},
"components": [
{
"bom-ref": "comp-1",
"type": "library",
"name": "log4j-core",
"purl": "pkg:maven/org.apache.logging.log4j/log4j-core@2.12.1",
"properties": [
{
"name": "amazon:inspector:sbom_scanner:path",
"value": "/home/dev/foo.jar"
}
]
}
],
"vulnerabilities": [
{
"bom-ref": "vuln-1",
"id": "CVE-2021-44228",
"source": {
"name": "NVD",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2021-44228"
},
"references": [
{
"id": "GHSA-jfh8-c2jp-5v3q",
"source": {
"name": "GITHUB",
"url": "https://github.com/advisories/GHSA-jfh8-c2jp-5v3q"
}
}
],
"ratings": [
{
"source": {
"name": "NVD",
"url": "https://www.first.org/cvss/v3-1/"
},
"score": 10.0,
"severity": "critical",
"method": "CVSSv31",
"vector": "AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H"
},
{
"source": {
"name": "NVD",
"url": "https://www.first.org/cvss/v2/"
},
"score": 9.3,
"severity": "critical",
"method": "CVSSv2",
"vector": "AC:M/Au:N/C:C/I:C/A:C"
},
{
"source": {
"name": "EPSS",
"url": "https://www.first.org/epss/"
},
"score": 0.97565,
"severity": "none",
"method": "other",
"vector": "model:v2023.03.01,date:2023-06-27T00:00:00+0000"
},
{
"source": {
"name": "GITHUB",
"url": "https://github.com/advisories/GHSA-jfh8-c2jp-5v3q"
},
"score": 10.0,
"severity": "critical",
"method": "CVSSv31",
"vector": "AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H"
}
],
"cwes": [
400,
20,
502
],
"description": "Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0 (along with 2.12.2, 2.12.3, and 2.3.1), this functionality has been completely removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, or other Apache Logging Services projects.",
"advisories": [
{
"url": "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html"
},
{
"url": "https://support.apple.com/kb/HT213189"
},
{
"url": "https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/"
},
{
"url": "https://logging.apache.org/log4j/2.x/security.html"
},
{
"url": "https://www.debian.org/security/2021/dsa-5020"
},
{
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-479842.pdf"
},
{
"url": "https://www.oracle.com/security-alerts/alert-cve-2021-44228.html"
},
{
"url": "https://www.oracle.com/security-alerts/cpujan2022.html"
},
{
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-714170.pdf"
},
{
"url": "https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M5CSVUNV4HWZZXGOKNSK6L7RPM7BOKIB/"
},
{
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-397453.pdf"
},
{
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf"
},
{
"url": "https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VU57UJDCFIASIO35GC55JMKSRXJMCDFM/"
},
{
"url": "https://www.oracle.com/security-alerts/cpuapr2022.html"
},
{
"url": "https://twitter.com/kurtseifried/status/1469345530182455296"
},
{
"url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd"
},
{
"url": "https://lists.debian.org/debian-lts-announce/2021/12/msg00007.html"
},
{
"url": "https://www.kb.cert.org/vuls/id/930724"
}
],
"created": "2021-12-10T10:15:00Z",
"updated": "2023-04-03T20:15:00Z",
"affects": [
{
"ref": "comp-1"
}
],
"properties": [
{
"name": "amazon:inspector:sbom_scanner:exploit_available",
"value": "true"
},
{
"name": "amazon:inspector:sbom_scanner:exploit_last_seen_in_public",
"value": "2023-03-06T00:00:00Z"
},
{
"name": "amazon:inspector:sbom_scanner:cisa_kev_date_added",
"value": "2021-12-10T00:00:00Z"
},
{
"name": "amazon:inspector:sbom_scanner:cisa_kev_date_due",
"value": "2021-12-24T00:00:00Z"
},
{
"name": "amazon:inspector:sbom_scanner:fixed_version:comp-1",
"value": "2.15.0"
}
]
}
]
}
}
```
### Exemplo de saída no formato CycloneDX 1.5 - Windows
```
{
"sbom": {
"specVersion": "1.5",
"metadata": {
"tools": {
"services": [
{
"name": "Amazon Inspector Scan SBOM API",
"version": "d79c681c+d73b8663+5e50a5ab"
}
]
},
"properties": [
{
"name": "amazon:inspector:sbom_scanner:critical_vulnerabilities",
"value": "0"
},
{
"name": "amazon:inspector:sbom_scanner:high_vulnerabilities",
"value": "0"
},
{
"name": "amazon:inspector:sbom_scanner:medium_vulnerabilities",
"value": "1"
},
{
"name": "amazon:inspector:sbom_scanner:low_vulnerabilities",
"value": "0"
},
{
"name": "amazon:inspector:sbom_scanner:other_vulnerabilities",
"value": "0"
}
],
"timestamp": "2026-03-17T00:00:52.344Z"
},
"components": [
{
"bom-ref": "comp-1",
"name": "defender",
"purl": "pkg:generic/microsoft/defender@4.18.25110.5",
"type": "application",
"version": "4.18.25110.5",
"properties": [
{
"name": "amazon:inspector:sbom_scanner:source_file_scanner",
"value": "windows-apps"
},
{
"name": "amazon:inspector:sbom_scanner:source_package_collector",
"value": "windows-app-defender"
},
{
"name": "amazon:inspector:sbom_scanner:path",
"value": "vol-0d994b0984fdaa2af:\\ProgramData\\Microsoft\\Windows Defender\\platform\\4.18.25110.5-0"
}
]
}
],
"serialNumber": "urn:uuid:6bed582d-191e-4cb7-9875-950dd0b99700",
"bomFormat": "CycloneDX",
"vulnerabilities": [
{
"advisories": [
{
"url": "https://support.microsoft.com/help/5011487"
},
{
"url": "https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5011487"
}
],
"bom-ref": "vuln-1",
"references": [
{
"id": "CVE-2022-23278",
"source": {
"name": "MICROSOFT",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23278"
}
}
],
"ratings": [
{
"severity": "none",
"score": 0.02691,
"method": "other",
"vector": "model:v2025.03.14,date:2026-03-15T12:55:00Z",
"source": {
"name": "EPSS",
"url": "https://api.first.org/data/v1/epss?cve=CVE-2022-23278"
}
},
{
"severity": "medium",
"score": 5.9,
"method": "CVSSv31",
"vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N",
"source": {
"name": "MICROSOFT",
"url": "https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5011487"
}
}
],
"created": "2022-03-08T08:00:00Z",
"description": "Security Update for Defender (2022-03). Install KB5011487 to remediate. A reboot is required for this update to take effect.",
"affects": [
{
"ref": "comp-1"
}
],
"id": "KB5011487",
"source": {
"name": "MICROSOFT",
"url": "https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5011487"
},
"published": "2022-03-08T08:00:00Z",
"analysis": {
"state": "in_triage"
},
"properties": [
{
"name": "amazon:inspector:sbom_scanner:priority",
"value": "standard"
},
{
"name": "amazon:inspector:sbom_scanner:priority_intelligence",
"value": "unverified"
},
{
"name": "amazon:inspector:sbom_scanner:fixed_version:comp-1",
"value": "10.0.19042.1586"
}
]
}
]
}
}
```
### Exemplo de saída no formato Inspector - Linux
```
{
"status": "SBOM parsed successfully, 1 vulnerability found",
"inspector": {
"messages": [
{
"name": "foo",
"purl": "pkg:maven/foo@1.0.0", // Will not exist in output if missing in sbom
"info": "Component skipped: no rules found."
}
],
"vulnerability_count": {
"critical": 1,
"high": 0,
"medium": 0,
"low": 0
},
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical",
"source": "https://nvd.nist.gov/vuln/detail/CVE-2021-44228",
"related": [
"GHSA-jfh8-c2jp-5v3q"
],
"description": "Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0 (along with 2.12.2, 2.12.3, and 2.3.1), this functionality has been completely removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, or other Apache Logging Services projects.",
"references": [
"https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html",
"https://support.apple.com/kb/HT213189",
"https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/",
"https://logging.apache.org/log4j/2.x/security.html",
"https://www.debian.org/security/2021/dsa-5020",
"https://cert-portal.siemens.com/productcert/pdf/ssa-479842.pdf",
"https://www.oracle.com/security-alerts/alert-cve-2021-44228.html",
"https://www.oracle.com/security-alerts/cpujan2022.html",
"https://cert-portal.siemens.com/productcert/pdf/ssa-714170.pdf",
"https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M5CSVUNV4HWZZXGOKNSK6L7RPM7BOKIB/",
"https://cert-portal.siemens.com/productcert/pdf/ssa-397453.pdf",
"https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf",
"https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VU57UJDCFIASIO35GC55JMKSRXJMCDFM/",
"https://www.oracle.com/security-alerts/cpuapr2022.html",
"https://twitter.com/kurtseifried/status/1469345530182455296",
"https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd",
"https://lists.debian.org/debian-lts-announce/2021/12/msg00007.html",
"https://www.kb.cert.org/vuls/id/930724"
],
"created": "2021-12-10T10:15:00Z",
"updated": "2023-04-03T20:15:00Z",
"properties": {
"cisa_kev_date_added": "2021-12-10T00:00:00Z",
"cisa_kev_date_due": "2021-12-24T00:00:00Z",
"cwes": [
400,
20,
502
],
"cvss": [
{
"source": "NVD",
"severity": "critical",
"cvss3_base_score": 10.0,
"cvss3_base_vector": "AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H",
"cvss2_base_score": 9.3,
"cvss2_base_vector": "AC:M/Au:N/C:C/I:C/A:C"
},
{
"source": "GITHUB",
"severity": "critical",
"cvss3_base_score": 10.0,
"cvss3_base_vector": "AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H"
}
],
"epss": 0.97565,
"exploit_available": true,
"exploit_last_seen_in_public": "2023-03-06T00:00:00Z"
},
"affects": [
{
"installed_version": "pkg:maven/org.apache.logging.log4j/log4j-core@2.12.1",
"fixed_version": "2.15.0",
"path": "/home/dev/foo.jar"
}
]
}
]
}
}
```
### Exemplo de saída no formato Inspector - Windows
```
{
"sbom": {
"vulnerabilities": [
{
"severity": "medium",
"priority_intelligence": "unverified",
"related": [
"CVE-2022-23278"
],
"references": [
"https://support.microsoft.com/help/5011487",
"https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5011487"
],
"created": "2022-03-08T08:00:00Z",
"description": "Security Update for Defender (2022-03). Install KB5011487 to remediate. A reboot is required for this update to take effect.",
"affects": [
{
"path": "vol-0d994b0984fdaa2af:\\ProgramData\\Microsoft\\Windows Defender\\platform\\4.18.25110.5-0",
"fixed_version": "10.0.19042.1586",
"installed_version": "pkg:generic/microsoft/defender@4.18.25110.5"
}
],
"id": "KB5011487",
"source": "https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5011487",
"published": "2022-03-08T08:00:00Z",
"priority": "standard",
"properties": {
"epss": 0.0269099995,
"cvss": [
{
"severity": "medium",
"cvss_3_base_score": 5.9000000954,
"cvss_3_base_vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N",
"source": "MICROSOFT",
"url": "https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5011487"
}
]
}
}
],
"vulnerability_count": {
"high": 0,
"other": 0,
"critical": 0,
"low": 0,
"medium": 1
}
}
}
```
# Como usar o plug-in Jenkins do Amazon Inspector
O plug-in Jenkins utiliza o binário do [Amazon Inspector SBOM Generator](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html#sbomgen-supported) e a API Amazon Inspector Scan para gerar relatórios detalhados no final da compilação, para investigar e corrigir os riscos antes da implantação. Com o plug-in Jenkins do Amazon Inspector, você pode adicionar verificações de vulnerabilidade do Amazon Inspector ao pipeline do Jenkins. As verificações de vulnerabilidade do Amazon Inspector podem ser configuradas para aprovar ou reprovar execuções do pipeline com base na quantidade e na gravidade das vulnerabilidades detectadas. Você pode ver a versão mais recente do Jenkins plug-in no Jenkins mercado em [https://plugins.jenkins.io/amazon-inspector-image-scanner/](https://plugins.jenkins.io/amazon-inspector-image-scanner/). As etapas a seguir descrevem como configurar o plug-in Jenkins do Amazon Inspector.
**Importante**
Antes de concluir as etapas a seguir, você deve atualizar o Jenkins para a versão 2.387.3 ou superior para que o plug-in seja executado.
## Etapa 1. Configurar um Conta da AWS
Configure um Conta da AWS com uma função do IAM que permita o acesso à API Amazon Inspector Scan. Para instruções, consulte [Configurando uma AWS conta para usar a integração com o Amazon Inspector CI/CD](configure-cicd-account.md).
## Etapa 2. Instalar o plug-in Jenkins do Amazon Inspector
O procedimento a seguir descreve como instalar o plug-in Jenkins do Amazon Inspector usando o painel do Jenkins.
1. No painel do Jenkins, selecione **Gerenciar Jenkins**, em seguida, selecione **Gerenciar plug-ins**.
1. Selecione **Disponível**.
1. Na guia **Disponível**, pesquise **Amazon Inspector Scans**, em seguida, instale o plug-in.
## (Opcional) Etapa 3. Adicionar credenciais do Docker ao Jenkins
**nota**
Adicione credenciais do Docker somente se a imagem do Docker estiver em um repositório privado. Caso contrário, ignore essa etapa.
O procedimento a seguir descreve como adicionar credenciais do Docker ao Jenkins pelo painel do Jenkins.
1. No painel do Jenkins, escolha **Gerenciar Jenkins**, **Credenciais**, em seguida, **Sistema**.
1. Selecione **Credenciais globais**, em seguida, **Adicionar credenciais**.
1. Em **Tipo**, selecione **Nome de usuário com senha**.
1. Em **Escopo**, selecione **Global (Jenkins, nós, itens, todos os itens secundários, etc.)**.
1. Insira os detalhes e selecione **OK**.
## (Opcional) Etapa 4. Adicionar AWS credenciais
**nota**
Adicione AWS credenciais somente se quiser se autenticar com base em um usuário do IAM. Caso contrário, ignore essa etapa.
O procedimento a seguir descreve como adicionar AWS credenciais do Jenkins painel.
1. No painel do Jenkins, escolha **Gerenciar Jenkins**, **Credenciais**, em seguida, **Sistema**.
1. Selecione **Credenciais globais**, em seguida, **Adicionar credenciais**.
1. Em **Tipo**, selecione **Credenciais da AWS**.
1. Insira os detalhes, inclusive o **ID da chave de acesso** e a **Chave de acesso secreta**, e selecione **OK**.
## Etapa 5. Adicionar suporte a CSS em um script do Jenkins
O procedimento a seguir descreve como adicionar suporte a CSS em um script do Jenkins.
1. Reinicie o Jenkins.
1. No painel, selecione **Gerenciar Jenkins**, **Nós**, **Nó integrado**, em seguida, **Console do script**.
1. Na caixa de texto, adicione a linha `System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "")` e selecione **Executar**.
## Etapa 6. Adicionar o Amazon Inspector Scan à sua criação
Você pode adicionar o Amazon Inspector Scan à criação inserindo uma etapa de criação ao projeto ou usando o pipeline declarativo Jenkins.
### Adicionar o Amazon Inspector Scan à sua criação ao adicionar uma etapa de criação no projeto.
1. Na página de configuração, role a página para baixo até **Etapas de criação** e selecione **Adicionar etapa de criação**. Em seguida, selecione **Amazon Inspector Scan**.
1. Escolha entre dois métodos de instalação do inspector-sbomgen: **Automático** ou **Manual**. A opção automática permite que o plug-in baixe a versão mais recente. Isso também garante que você sempre tenha os recursos, atualizações de segurança e correções de erros mais recentes.
1. (Opção 1) Selecione **Automático** para baixar a versão mais recente do inspector-sbomgen. Essa opção detecta automaticamente o sistema operacional e a arquitetura da CPU que estão em uso no momento.
1. (Opção 2) Selecione **Manual** se quiser configurar o binário do Amazon Inspector SBOM Generator para verificação. Se você escolher esse método, forneça o caminho completo para uma versão do inspector-sbomgen baixada anteriormente.
Para obter mais informações, consulte [Instalação do Amazon Inspector SBOM Generator (Sbomgen)](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html#install-sbomgen) no [Amazon Inspector SBOM Generator](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html).
1. Faça o seguinte para realizar a configuração da etapa de criação do Amazon Inspector Scan:
1. Insira o **ID da imagem**. A imagem pode ser local, remota ou arquivada. Os nomes das imagens devem seguir a convenção de nomenclatura do Docker. Se estiver analisando uma imagem exportada, forneça o caminho para o arquivo tar previsto. Veja os seguintes exemplos de caminhos de ID da imagem:
1. Para contêineres locais ou remotos: `NAME[:TAG|@DIGEST]`
1. Para um arquivo tar: `/path/to/image.tar`
1. Selecione uma **Região da AWS** para enviar a solicitação de escaneamento.
1. (Opcional) Em **Nome do artefato do relatório**, insira um nome personalizado para os artefatos gerados durante o processo de criação. Isso ajuda a identificá-los e gerenciá-los de forma exclusiva.
1. (Opcional) Em **Ignorar arquivos**, especifique um ou mais diretórios que você deseja excluir da verificação. Considere essa opção para diretórios que não precisam ser verificados devido ao tamanho.
1. (Opcional) Para **credenciais do Docker**, selecione o nome de usuário Docker. Faça isso apenas se a imagem de contêiner estiver em um repositório privado.
1. (Opcional) Você pode fornecer os seguintes métodos de AWS autenticação compatíveis:
1. (Opcional) Para a **função IAM**, forneça um ARN da função (arn:aws:iam: ::role/). *AccountNumber* *RoleName*
1. (Opcional) Para **credenciais da AWS**, especifique as AWS credenciais para autenticação com base em um usuário do IAM.
1. (Opcional) Em **Nome do perfil da AWS **, forneça o nome de um perfil para autenticar usando um nome de perfil.
1. (Opcional) Selecione **Ativar limites de vulnerabilidade**. Com essa opção, você pode avaliar se a compilação falhará se uma vulnerabilidade verificada exceder um valor. Se todos os valores forem iguais a `0`, a compilação será bem-sucedida, independentemente de quantas vulnerabilidades sejam verificadas. Para a pontuação do EPSS, o valor pode ser de 0 a 1. Se uma vulnerabilidade verificada exceder um valor, a compilação falhará e todas CVEs com uma pontuação EPSS acima do valor serão exibidas no console.
1. Escolha **Salvar**.
### Adicionar o Amazon Inspector Scan à criação usando o pipeline declarativo do Jenkins
Você pode adicionar o Amazon Inspector Scan à criação usando o pipeline declarativo do Jenkins de forma automática ou manual.
**Para baixar automaticamente o pipeline SBOMGen declarativo**
+ Para adicionar o Amazon Inspector Scan a uma criação, use o exemplo de sintaxe a seguir. *IMAGE\$1PATH*Substitua pelo caminho para sua imagem (como*alpine:latest*), *IAM\$1ROLE* pelo ARN da função do IAM que você configurou na etapa 1 e *ID* pelo seu ID de Docker credencial se você estiver usando um repositório privado. Se desejar, você poderá ativar os limites de vulnerabilidade e especificar valores para cada grau.
```
pipeline {
agent any
stages {
stage('amazon-inspector-image-scanner') {
steps {
script {
step([
$class: 'com.amazon.inspector.jenkins.amazoninspectorbuildstep.AmazonInspectorBuilder',
archivePath: 'IMAGE_PATH', // Path to your container image or tar file
awsRegion: 'REGION', // AWS region for scan requests
iamRole: 'IAM ROLE', // IAM role ARN for authentication
credentialId: 'Id', // Docker credentials (empty if public repo)
awsCredentialId: 'AWS ID', // AWS credential ID for authentication
awsProfileName: 'Profile Name', // AWS profile name to use
sbomgenSkipFiles: '*.log,node_modules,/tmp/*', // Files/directories to exclude from scanning
// Vulnerability threshold settings (updated parameter names)
isSeverityThresholdEnabled: false, // Enable/disable build failure on vulnerability count
countCritical: 0, // Max critical vulnerabilities before build fails
countHigh: 0, // Max high vulnerabilities before build fails
countMedium: 5, // Max medium vulnerabilities before build fails
countLow: 10, // Max low vulnerabilities before build fails
// EPSS (Exploit Prediction Scoring System) settings
isEpssThresholdEnabled: false, // Enable/disable EPSS-based failure threshold
epssThreshold: 0.7, // EPSS score threshold (0.0 to 1.0)
// NEW FEATURE: CVE Suppression - ignore specific false positives
isSuppressedCveEnabled: false, // Enable CVE suppression feature
suppressedCveList: '', // Comma-separated list of CVEs to ignore in thresholds
// NEW FEATURE: Auto-Fail CVEs - always fail on critical security issues
isAutoFailCveEnabled: false, // Enable auto-fail CVE feature
autoFailCveList: '' // Comma-separated list of CVEs that always fail build
])
}
}
}
}
```
**Para baixar manualmente o pipeline SBOMGen declarativo**
+ Para adicionar o Amazon Inspector Scan a uma criação, use o exemplo de sintaxe a seguir. *SBOMGEN\$1PATH*Substitua pelo caminho para o Amazon Inspector SBOM Generator que você instalou na etapa 3, *IMAGE\$1PATH* pelo caminho para sua imagem (como*alpine:latest*), *IAM\$1ROLE* pelo ARN da função do IAM que você configurou na etapa 1 e *ID* pelo seu ID de Docker credencial se você estiver usando um repositório privado. Se desejar, você poderá ativar os limites de vulnerabilidade e especificar valores para cada grau.
**nota**
Coloque Sbomgen no diretório Jenkins e forneça o caminho para o diretório Jenkins no plug-in (como*/opt/folder/arm64/inspector-sbomgen*).
```
pipeline {
agent any
stages {
stage('amazon-inspector-image-scanner') {
steps {
script {
step([
$class: 'com.amazon.inspector.jenkins.amazoninspectorbuildstep.AmazonInspectorBuilder',
archivePath: 'IMAGE_PATH', // Path to your container image or tar file
awsRegion: 'REGION', // AWS region for scan requests
iamRole: 'IAM ROLE', // IAM role ARN for authentication
credentialId: 'Id', // Docker credentials (empty if public repo)
awsCredentialId: 'AWS ID', // AWS credential ID for authentication
awsProfileName: 'Profile Name', // AWS profile name to use
sbomgenSkipFiles: '*.log,node_modules,/tmp/*', // Files/directories to exclude from scanning
// Vulnerability threshold settings (updated parameter names)
isSeverityThresholdEnabled: false, // Enable/disable build failure on vulnerability count
countCritical: 0, // Max critical vulnerabilities before build fails
countHigh: 0, // Max high vulnerabilities before build fails
countMedium: 5, // Max medium vulnerabilities before build fails
countLow: 10, // Max low vulnerabilities before build fails
// EPSS (Exploit Prediction Scoring System) settings
isEpssThresholdEnabled: false, // Enable/disable EPSS-based failure threshold
epssThreshold: 0.7, // EPSS score threshold (0.0 to 1.0)
// NEW FEATURE: CVE Suppression - ignore specific false positives
isSuppressedCveEnabled: false, // Enable CVE suppression feature
suppressedCveList: '', // Comma-separated list of CVEs to ignore in thresholds
// NEW FEATURE: Auto-Fail CVEs - always fail on critical security issues
isAutoFailCveEnabled: false, // Enable auto-fail CVE feature
autoFailCveList: '' // Comma-separated list of CVEs that always fail build
])
}
}
}
}
```
O plug-in inclui recursos para gerenciar vulnerabilidades de segurança.
**Lista de CVEs suprimidas**
Ocasionalmente, as verificações podem detectar vulnerabilidades que não são ameaças reais. Para evitar que esses falsos positivos interrompam sua compilação, adicione-os a uma lista de *supressão*.
```
isSuppressedCveEnabled: true,
suppressedCveList: 'CVE-2023-1234,CVE-2023-5678'
```
Isso ignora as especificidades CVEs ao verificar se sua compilação deve falhar. Você só deve adicionar falsos positivos à lista de supressão caso já os tenha solucionado. Depois de adicionar essas vulnerabilidades à lista suprimida, elas CVEs ainda aparecerão no seu relatório de segurança, mas não causarão falhas na compilação.
**Lista de CVEs com falha automática**
Para vulnerabilidades críticas de segurança, você pode criar uma lista que sempre fará a compilação falhar.
```
isAutoFailCveEnabled: true,
autoFailCveList: 'CVE-2024-9999'
```
Isso fará com que as compilações sempre falhem, independentemente das configurações que você tiver habilitado. Você só deve criar essa lista para problemas de segurança de alta prioridade que jamais devem ser implantados. A lista substitui todas as outras configurações de limite, garantindo a máxima segurança.
## Etapa 7. Veja o relatório de vulnerabilidade do Amazon Inspector
1. Realize nova compilação do projeto.
1. Quando a criação for concluída, selecione um formato de saída nos resultados. Se você selecionar HTML, poderá fazer download da SBOM JSON ou da versão CSV do relatório. Este é um exemplo de relatório HTML:
![\[Amostra de relatório de vulnerabilidade do Amazon Inspector.\]](http://docs.aws.amazon.com/pt_br/inspector/latest/user/images/report.png)
**nota**
Você pode usar scripts mais antigos, pois o plug-in é compatível com nomes de parâmetros antigos. No entanto, você receberá avisos no console sugerindo atualizar esses parâmetros para nomes mais novos. Por exemplo, se usar `isThresholdEnabled`, você receberá um aviso sugerindo atualizar o parâmetro para `isSeverityThresholdEnabled`.
## Solução de problemas
Veja a seguir os erros comuns que você pode encontrar ao usar o plug-in Amazon Inspector Scan para o Jenkins.
### Falha ao carregar credenciais ou erro de exceção do STS
**Erro:**
`InstanceProfileCredentialsProvider(): Failed to load credentials or sts exception.`
**Resolução**
Obtenha `aws_access_key_id` e `aws_secret_access_key` para sua AWS conta. Configure `aws_access_key_id` e `aws_secret_access_key` em `~/.aws/credentials`.
### Falha ao carregar a imagem de origens do tarball, locais ou remotas
**Erro:**
`2024/10/16 02:25:17 [ImageDownloadFailed]: failed to load image from tarball, local, or remote sources.`
**nota**
Esse erro pode ocorrer se o plug-in do Jenkins não conseguir ler a imagem de contêiner, se a imagem de contêiner não for encontrada no mecanismo do Docker e se a imagem de contêiner não for encontrada no registro remoto do contêiner.
**Resolução:**
Verifique o seguinte:
+ O usuário do plug-in do Jenkins tem permissões de leitura para a imagem que você deseja verificar.
+ A imagem que você deseja verificar está presente no mecanismo do Docker.
+ O URL da imagem remota está correto.
+ Você se autenticou no registro remoto (se aplicável).
### Erro de caminho do Inspector-sbomgen
**Erro:**
`Exception:com.amazon.inspector.jenkins.amazoninspectorbuildstep.exception.SbomgenNotFoundException: There was an issue running inspector-sbomgen, is /opt/inspector/inspector-sbomgen the correct path?`
**Resolução:**
Para resolver esse problema, conclua o seguinte procedimento.
1. Coloque o Inspector-sbomgen da arquitetura do sistema operacional correto no diretório do Jenkins. Para ter mais informações, consulte [Amazon Inspector SBOM Generator](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html).
1. Conceda permissões executáveis ao binário usando o seguinte comando: `chmod +x inspector-sbomgen`.
1. Forneça o caminho correto da máquina do Jenkins no plug-in, como `/opt/folder/arm64/inspector-sbomgen`.
1. Salve a configuração e execute o trabalho do Jenkins.
# Como usar o plug-in TeamCity do Amazon Inspector
O plug-in TeamCity do Amazon Inspector utiliza o binário do Amazon Inspector SBOM Generator e a API Amazon Inspector Scan para gerar relatórios detalhados no final da criação, para investigar e corrigir os riscos antes da implantação. Com o plug-in TeamCity do Amazon Inspector, você pode adicionar verificações de vulnerabilidade do Amazon Inspector ao pipeline do TeamCity. As verificações de vulnerabilidade do Amazon Inspector podem ser configuradas para aprovar ou reprovar execuções do pipeline com base na quantidade e na gravidade das vulnerabilidades detectadas. Você pode ver a versão mais recente do TeamCity plug-in Amazon Inspector no TeamCity mercado em [https://plugins.jetbrains.com/plugin/23236](https://plugins.jetbrains.com/plugin/23236-amazon-inspector-scanner) -. amazon-inspector-scanner Para obter informações sobre como integrar o Amazon Inspector Scan em seu CI/CD pipeline, consulte [Integrando escaneamentos do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-cicd.html) em seu pipeline. CI/CD Para conferir uma lista de sistemas operacionais e linguagens de programação compatíveis com o Amazon Inspector, consulte [Supported operating systems and programming languages](https://docs.aws.amazon.com/inspector/latest/user/supported.html). As etapas a seguir descrevem como configurar o plug-in TeamCity do Amazon Inspector.
1. **Configure um Conta da AWS.**
+ Configure um Conta da AWS com uma função do IAM que permita o acesso à API Amazon Inspector Scan. Para instruções, consulte [Configurando uma AWS conta para usar a integração com o Amazon Inspector CI/CD](configure-cicd-account.md).
1. **Instale o plug-in Amazon Inspector TeamCity**.
1. No painel, acesse **Administração** > **Plugins**.
1. Pesquise por **Amazon Inspector Scans**.
1. Instale o plug-in .
1. **Instale o Amazon Inspector SBOM Generator**.
+ Instale o binário do Amazon Inspector SBOM Generator no diretório do servidor Teamcity. Para instruções, consulte [Instalação do Sbomgen](sbom-generator.md#install-sbomgen).
1. **Adicione uma etapa de criação do Amazon Inspector Scan ao projeto**.
1. Na página de configuração, role a página para baixo até **Etapas de criação**, selecione **Adicionar etapa de criação**, em seguida, selecione **Amazon Inspector Scan**.
1. Configure a etapa de criação do Amazon Inspector Scan preenchendo os seguintes detalhes:
+ Adicione um **Nome da etapa**.
+ Escolha entre dois métodos de instalação do Amazon Inspector SBOM Generator: **Automático** ou **Manual**.
+ O método **Automático** faz download da versão mais recente do Amazon Inspector SBOM Generator com base no sistema e na arquitetura da CPU.
+ No método **Manual**, você precisa fornecer um caminho completo para uma versão do Amazon Inspector SBOM Generator baixada anteriormente.
Para ter mais informações, consulte [Installing Amazon Inspector SBOM Generator (Sbomgen)](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html#install-sbomgen) em [Amazon Inspector SBOM Generator](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html).
+ Insira o **ID da imagem**. A imagem pode ser local, remota ou arquivada. Os nomes das imagens devem seguir a convenção de nomenclatura do Docker. Se estiver analisando uma imagem exportada, forneça o caminho para o arquivo tar previsto. Veja os seguintes exemplos de caminhos de ID da imagem:
+ Para contêineres locais ou remotos: `NAME[:TAG|@DIGEST]`
+ Para um arquivo tar: `/path/to/image.tar`
+ Para o **perfil do IAM**, insira o ARN do perfil configurado na etapa 1.
+ Selecione uma **Região da AWS** para enviar a solicitação de escaneamento.
+ (Opcional) Para **Autenticação do Docker**, insira o **Nome de usuário** e **Senha do Docker**. Faça isso apenas se a imagem de contêiner estiver em um repositório privado.
+ (Opcional) Para **AWS Autenticação**, insira o ID da chave de AWS acesso e a chave AWS secreta. Faça isso somente se quiser se autenticar com base nas AWS credenciais.
+ (Opcional) Especifique os **Limites de vulnerabilidade** por grau. Se o número especificado for excedido durante uma verificação, a construção da imagem falhará. Se todos os valores forem `0`, a compilação será bem-sucedida, independentemente do número de vulnerabilidades encontradas.
1. Selecione **Salvar**.
1. **Veja o relatório de vulnerabilidade do Amazon Inspector**.
1. Realize nova compilação do projeto.
1. Quando a compilação for concluída, selecione um formato de saída nos resultados. Ao selecionar HTML, você pode fazer download da versão JSON SBOM ou CSV do relatório. Este é um exemplo de relatório HTML:
![\[Amostra de relatório de vulnerabilidade do Amazon Inspector.\]](http://docs.aws.amazon.com/pt_br/inspector/latest/user/images/report.png)
# Usar o Amazon Inspector com ações do GitHub
Você pode usar o Amazon Inspector com [https://github.com/features/actions](https://github.com/features/actions) para adicionar verificações de vulnerabilidade do Amazon Inspector ao seus fluxos de trabalho do GitHub. Isso utiliza o [Amazon Inspector SBOM Generator](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html) e a [API Amazon Inspector Scan](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html) para gerar relatórios detalhados no final da criação, para investigar e corrigir os riscos antes da implantação. As verificações de vulnerabilidade do Amazon Inspector podem ser configuradas para aprovar ou reprovar fluxos de trabalho com base na quantidade e na gravidade das vulnerabilidades detectadas. Você pode ver a versão mais recente da ação do Amazon Inspector no [ site do GitHub](https://github.com/aws-actions/vulnerability-scan-github-action-for-amazon-inspector). Para obter informações sobre como integrar o Amazon Inspector Scan em seu CI/CD pipeline, consulte [Integrando escaneamentos do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-cicd.html) em seu pipeline. CI/CD Para conferir uma lista de sistemas operacionais e linguagens de programação compatíveis com o Amazon Inspector, consulte [Supported operating systems and programming languages](https://docs.aws.amazon.com/inspector/latest/user/supported.html).
# Usar o Amazon Inspector com componentes do GitLab
Você pode usar o Amazon Inspector com [componentes de GitLab CI/CD](https://docs.gitlab.com/ee/ci/components/) para adicionar escaneamentos de vulnerabilidade do Amazon Inspector aos seus projetos. GitLab Isso utiliza o [Amazon Inspector SBOM Generator](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html) e a [API Amazon Inspector Scan](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html) para gerar relatórios detalhados no final da criação, para investigar e corrigir os riscos antes da implantação. As verificações de vulnerabilidade do Amazon Inspector podem ser configuradas para aprovar ou reprovar fluxos de trabalho com base na quantidade e na gravidade das vulnerabilidades detectadas. Você pode ver a versão mais recente do componente do Amazon Inspector no [ site do GitLab](https://gitlab.com/guided-explorations/ci-components/aws/amazon-inspector). Para obter informações sobre como integrar o Amazon Inspector Scan em seu CI/CD pipeline, consulte [Integrando escaneamentos do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-cicd.html) em seu pipeline. CI/CD Para conferir uma lista de sistemas operacionais e linguagens de programação compatíveis com o Amazon Inspector, consulte [Supported operating systems and programming languages](https://docs.aws.amazon.com/inspector/latest/user/supported.html).
# Usar ações do CodeCatalyst com o Amazon Inspector
Você pode usar o Amazon Inspector com a [Amazon CodeCatalyst](https://codecatalyst.aws/explore) para adicionar escaneamentos de vulnerabilidade do Amazon Inspector aos seus fluxos de trabalho. CodeCatalyst Isso utiliza o [Amazon Inspector SBOM Generator](https://docs.aws.amazon.com/inspector/latest/user/sbom-generator.html) e a [API Amazon Inspector Scan](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html) para gerar relatórios detalhados no final da criação, para investigar e corrigir os riscos antes da implantação. As verificações de vulnerabilidade do Amazon Inspector podem ser configuradas para aprovar ou reprovar fluxos de trabalho com base na quantidade e na gravidade das vulnerabilidades detectadas. Para obter informações sobre como integrar o Amazon Inspector Scan em seu CI/CD pipeline, consulte [Integrando escaneamentos do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-cicd.html) em seu pipeline. CI/CD Para conferir uma lista de sistemas operacionais e linguagens de programação compatíveis com o Amazon Inspector, consulte [Supported operating systems and programming languages](https://docs.aws.amazon.com/inspector/latest/user/supported.html).
# Usando ações do Amazon Inspector Scan com CodePipeline
Você pode usar o Amazon Inspector AWS CodePipeline adicionando escaneamentos de vulnerabilidade aos seus fluxos de trabalho. Essa integração utiliza o Amazon Inspector SBOM Generator e a API Amazon Inspector Scan para gerar relatórios detalhados no final da compilação. A integração ajuda a investigar e corrigir riscos antes da implantação. A `InspectorScan` ação é uma ação de computação gerenciada CodePipeline que automatiza a detecção e a correção de vulnerabilidades de segurança em seu código-fonte aberto. Você pode usar essa ação com o código-fonte do aplicativo em seu repositório de terceiros, como GitHub o Bitbucket Cloud, ou com imagens para aplicativos de contêiner. Para obter mais informações, consulte a [referência da ação de InspectorScan invocação](https://docs.aws.amazon.com/codepipeline/latest/userguide/action-reference-InspectorScan.html) no *Guia do AWS CodePipeline usuário*.