全部產品
Search

搜尋本產品

    Security Center:GitHub Actions整合

    文件中心

    Security Center:GitHub Actions整合

    更新時間:Feb 28, 2024

    Security Center提供的CI/CD外掛程式支援對GitHub中構建的鏡像進行自動化安全掃描。使用該功能前,您需要在GitHub中整合CI/CD外掛程式。本文為您介紹如何將Security Center的CI/CD外掛程式整合到GitHub。

    操作步驟

    1. 登入GitHub。
    2. 單擊右上方頭像,在下來菜單中選中Your repositories
    3. repositories頁簽下,單擊您要整合CI/CD外掛程式的repository
    4. 單擊Actions頁簽。
    5. 在All workflows列表中,定位到要整合CI/CD外掛程式的workflows流水線檔案,單擊其Actor列的更多
    6. 在下拉式功能表中,選擇View workflow file
    7. Workflow file for this run中按照以下範例進行整合配置。
      name: Docker build and scan security issue by sas-image-scanner

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

env:
  REPO_TAG: your_docker_image_repo:your_docker_image_tag

jobs:

  build:

    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - name: Build the Docker image
      run: docker build . --file Dockerfile --tag ${{ env.REPO_TAG }}
    - name: Scan image by sas-image-scanner
      run: >
          docker run --rm -v /var/run/docker.sock:/var/run/docker.sock --network=host
          sas-image-scanner-registry.cn-hangzhou.cr.aliyuncs.com/sas_public/sas-image-scanner:latest
          --accessKeyId=${{ secrets.ACCESSKEYID }} --accessKeySecret=${{ secrets.ACCESSKEYSECRET }}
          --token=${{ secrets.SAS_TOKEN }} --imageId=${{ env.REPO_TAG }}
      相關配置參數說明如下:
      參數是否必填參數說明
      accessKeyId建議通過GitHub的secrets變數注入阿里雲帳號或RAM使用者的AccessKey。
      重要 強烈建議使用RAM使用者的AccessKey。阿里雲帳號的AccessKey是您訪問阿里雲API的密鑰,具有賬戶的完全許可權,請您妥善保管並且不要以任何方式公開到外部渠道,避免被他人利用造成安全威脅。建議您遵循阿里雲安全最佳實務,使用RAM使用者的AccessKey進行API調用。
      accessKeySecret建議通過GitHub的secrets變數注入阿里雲帳號或RAM使用者的AccessKey Secret。
      重要 強烈建議使用RAM使用者的AccessKey Secret。阿里雲帳號的AccessKey是您訪問阿里雲API的密鑰,具有賬戶的完全許可權,請您妥善保管並且不要以任何方式公開到外部渠道,避免被他人利用造成安全威脅。建議您遵循阿里雲安全最佳實務,使用RAM使用者的AccessKey進行API調用。
      token阿里雲Security CenterCI/CD外掛程式的接入Token。擷取CI/CD接入Token的具體操作,請參見接入配置
      imageId待掃描鏡像標識。預設支援本地掃描。
      • 本地鏡像支援傳入ImageId或Repo:Tag。
      • 遠程鏡像需傳入RegistryUrl或Repo:Tag,並需填寫鏡像倉憑證。
        重要 如果要掃描遠程鏡像倉中的鏡像,您需要正確填寫遠程鏡像的RegistryUrl、RegistryUsername、RegistryPassword的這三個參數。
      domainSecurity Center存取點。請填寫:tds.ap-southeast-1.aliyuncs.com。
      registryUrl鏡像倉的URL。
      重要 掃描遠程鏡像倉中的鏡像時,此參數必填。
      registryUsername鏡像倉登入使用者名稱。
      重要 掃描遠程鏡像倉中鏡像時,此參數必填。
      registryPwd鏡像倉登入密碼。
      重要 掃描遠程鏡像倉中鏡像時,此參數必填。
      整合配置完成後,您在構建專案時,會自動同步執行鏡像安全掃描任務,掃描您專案的鏡像是否存在安全風險。

    後續步驟

    您可以在資產中心的容器頁簽下,查看鏡像安全掃描結果。具體操作,請參見查看鏡像掃描結果