将 Amazon Inspector 扫描集成到您的 CI/CD 管道中 - Amazon Inspector

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Inspector 扫描集成到您的 CI/CD 管道中

Amazon Inspector CI/CD 集成使用 Amazon Inspector SBOM 生成器和亚马逊 Inspector Scan API 为容器映像生成漏洞报告。Amazon Inspector SBOM 生成器可为存档、容器映像、目录、本地系统以及已编译 Go 和 Rust 二进制文件创建软件物料清单(SBOM)。Amazon Inspector Scan API 可扫描 SBOM 来创建一份报告,其中包含有关检测到的漏洞的详细信息。您可以将 Amazon Inspector 容器映像扫描与您的 CI/CD 管道集成,以扫描软件漏洞并生成漏洞报告,这样您就可以在部署之前调查和修复风险。要设置 CI/CD 集成,您可以使用插件或使用 Amazon Inspector SBOM 生成器和 Amazon Inspector Scan API 创建自定义 CI/CD 集成。

插件集成

Amazon Inspector 为支持的 CI/CD 解决方案提供了插件。您可以从相应的市场安装这些插件,然后使用它们将 Amazon Inspector 扫描作为构建步骤添加到管道中。插件构建步骤对您提供的映像运行 Amazon Inspector SBOM 生成器,然后对生成的 SBOM 运行 Amazon Inspector Scan API。

以下概述了如何通过插件实现 Amazon Inspector CI/CD 集成:

  1. 您可以将配置为 AWS 账户 允许访问 Amazon Inspector Scan API。有关说明,请参阅设置 AWS 账户以使用 Amazon Inspector CI/CD 集成

  2. 您可以安装市场上提供的 Amazon Inspector 插件。

  3. 您可以安装和配置 Amazon Inspector SBOM 生成器二进制文件。有关说明,请参阅Amazon Inspector SBOM 生成器

  4. 您可以将 Amazon Inspector 扫描作为构建步骤添加到您的 CI/CD 管道中,然后配置扫描。

  5. 在您运行构建时,该插件会将容器映像作为输入,然后在映像上运行 Amazon Inspector SBOM 生成器,以生成与 CycloneDX 兼容的 SBOM。

  6. 然后,该插件将生成的 SBOM 发送到 Amazon Inspector Scan API 端点,该端点会评估每个 SBOM 组件是否存在漏洞。

  7. Amazon Inspector Scan API 响应将转换为 CSV、SBOM JSON 和 HTML 格式的漏洞报告。该报告包含有关 Amazon Inspector 发现的任何漏洞的详细信息。

支持的 CI/CD 解决方案

Amazon Inspector 目前支持以下 CI/CD 解决方案。有关使用插件设置 CI/CD 集成的完整说明,请选择适用于 CI/CD 解决方案的插件:

自定义集成

如果 Amazon Inspector 没有为您的 CI/CD 解决方案提供插件,您可以结合使用 Amazon Inspector SBOM 生成器和亚马逊 Inspector Scan API 来创建自己的自定义 CI/CD 集成。您还可以使用 Amazon Inspector SBOM 生成器中提供的选项,借助自定义集成来微调扫描。

以下概述了自定义 Amazon Inspector CI/CD 集成的工作原理:

  1. 您可以将配置为 AWS 账户 允许访问 Amazon Inspector Scan API。有关说明,请参阅设置 AWS 账户以使用 Amazon Inspector CI/CD 集成

  2. 您可以安装和配置 Amazon Inspector SBOM 生成器二进制文件。有关说明,请参阅Amazon Inspector SBOM 生成器

  3. 您可以使用 Amazon Inspector SBOM 生成器为容器映像生成与 CycloneDX 兼容的 SBOM。

  4. 您可以对生成的 SBOM 使用 Amazon Inspector Scan API,从而生成漏洞报告。

有关设置自定义集成的说明,请参阅创建与 Amazon Inspector Scan 的自定义 CI/CD 管道集成