本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Amazon Inspector 扫描集成到您的 CI/CD 管道中
Amazon Inspector CI/CD 集成使用 Amazon Inspector SBOM 生成器和亚马逊 Inspector Scan API 为容器映像生成漏洞报告。Amazon Inspector SBOM 生成器可为存档、容器映像、目录、本地系统以及已编译 Go 和 Rust 二进制文件创建软件物料清单(SBOM)。Amazon Inspector Scan API 可扫描 SBOM 来创建一份报告,其中包含有关检测到的漏洞的详细信息。您可以将 Amazon Inspector 容器映像扫描与您的 CI/CD 管道集成,以扫描软件漏洞并生成漏洞报告,这样您就可以在部署之前调查和修复风险。要设置 CI/CD 集成,您可以使用插件或使用 Amazon Inspector SBOM 生成器和 Amazon Inspector Scan API 创建自定义 CI/CD 集成。
主题
插件集成
Amazon Inspector 为支持的 CI/CD 解决方案提供了插件。您可以从相应的市场安装这些插件,然后使用它们将 Amazon Inspector 扫描作为构建步骤添加到管道中。插件构建步骤对您提供的映像运行 Amazon Inspector SBOM 生成器,然后对生成的 SBOM 运行 Amazon Inspector Scan API。
以下概述了如何通过插件实现 Amazon Inspector CI/CD 集成:
-
您可以将配置为 AWS 账户 允许访问 Amazon Inspector Scan API。有关说明,请参阅设置 AWS 账户以使用 Amazon Inspector CI/CD 集成。
-
您可以安装市场上提供的 Amazon Inspector 插件。
-
您可以安装和配置 Amazon Inspector SBOM 生成器二进制文件。有关说明,请参阅Amazon Inspector SBOM 生成器。
-
您可以将 Amazon Inspector 扫描作为构建步骤添加到您的 CI/CD 管道中,然后配置扫描。
-
在您运行构建时,该插件会将容器映像作为输入,然后在映像上运行 Amazon Inspector SBOM 生成器,以生成与 CycloneDX 兼容的 SBOM。
-
然后,该插件将生成的 SBOM 发送到 Amazon Inspector Scan API 端点,该端点会评估每个 SBOM 组件是否存在漏洞。
-
Amazon Inspector Scan API 响应将转换为 CSV、SBOM JSON 和 HTML 格式的漏洞报告。该报告包含有关 Amazon Inspector 发现的任何漏洞的详细信息。
支持的 CI/CD 解决方案
Amazon Inspector 目前支持以下 CI/CD 解决方案。有关使用插件设置 CI/CD 集成的完整说明,请选择适用于 CI/CD 解决方案的插件:
自定义集成
如果 Amazon Inspector 没有为您的 CI/CD 解决方案提供插件,您可以结合使用 Amazon Inspector SBOM 生成器和亚马逊 Inspector Scan API 来创建自己的自定义 CI/CD 集成。您还可以使用 Amazon Inspector SBOM 生成器中提供的选项,借助自定义集成来微调扫描。
以下概述了自定义 Amazon Inspector CI/CD 集成的工作原理:
-
您可以将配置为 AWS 账户 允许访问 Amazon Inspector Scan API。有关说明,请参阅设置 AWS 账户以使用 Amazon Inspector CI/CD 集成。
-
您可以安装和配置 Amazon Inspector SBOM 生成器二进制文件。有关说明,请参阅Amazon Inspector SBOM 生成器。
-
您可以使用 Amazon Inspector SBOM 生成器为容器映像生成与 CycloneDX 兼容的 SBOM。
-
您可以对生成的 SBOM 使用 Amazon Inspector Scan API,从而生成漏洞报告。
有关设置自定义集成的说明,请参阅创建与 Amazon Inspector Scan 的自定义 CI/CD 管道集成。