Security Centerは、CI/CDベースのコンテナイメージスキャンの機能を提供し、イメージリスクを効率的に検出します。 この機能は、JenkinsとGitHubのプロジェクト構築ステージを対象としています。 この機能は、リスクの高いシステムの脆弱性、アプリケーションの脆弱性、ウイルス、Webシェル、悪意のあるスクリプトの実行、設定のリスクを検出し、イメージ上の機密データを特定するのに役立ちます。 この機能は、検出された画像リスクに対するソリューションも提供します。

制限事項

セキュリティセンターのAdvanced、Enterprise、Ultimate、および付加価値プラン版のみがこの機能をサポートしています。 これらのエディションを使用しない場合は、この機能を使用する前に、Security CenterをAdvanced、Enterprise、Ultimate、または付加価値プランのエディションにアップグレードする必要があります。 Security Centerの購入とアップグレードの詳細については、「セキュリティセンターの購入Security Centerのアップグレードとダウングレード」をご参照ください。 各エディションがサポートする機能の詳細については、「t13617.html#concept_fc1_xvb_zdb」をご参照ください。

実装

CI/CDベースのコンテナイメージスキャンを使用するには、JenkinsまたはGitHubにCI/CDプラグインをインストールするだけで、JenkinsまたはGitHubでプロジェクトをビルドするときに、Security Centerが自動的にイメージをスキャンしてリスクを検出できるようになります。 リスクスキャンのために画像をSecurity Centerに同期する必要はありません。 スキャンが完了すると、Security CenterコンソールのAssetsページのCI/CDタブにスキャン結果が表示されます。 CI/CDプラグインは、画像のスキャンに使用されます。 スキャン結果に基づいて画像リスクを処理できます。

シナリオ

CI/CDベースのコンテナーイメージスキャンを使用できるシナリオを次に示します。
  • Jenkins Freestyleプロジェクト
  • Jenkins Pipelineプロジェクト
  • GitHubアクション

前提条件

サーバーは最小構成要件を満たしています。 これは、遅い画像スキャンを防止する。

  • 最小構成設定
    • CPUコアの数: 1。
    • メモリ: 2 GB。
    • ストレージ容量: 60 GB。
    • ネットワーク: サーバーはインターネット経由で利用でき、エンドポイントが tds.ap-southeast-1.aliyuncs.comされているAlibaba Cloudサービスにアクセスできます。
  • 最適な設定
    • CPUコアの数: 4。
    • メモリ: 8 GB。
    • ストレージ容量: 100 GB。
    • ネットワーク: サーバーはインターネット経由で利用でき、エンドポイントが tds.ap-southeast-1.aliyuncs.comされているAlibaba Cloudサービスにアクセスできます。 アップストリーム帯域幅は10 Mbit/sより大きい。