Modules d'enregistrement des analyseurs¶
BoostSecurity prend en charge plusieurs analyseurs qui sont disponibles via le registre de module BoostSecurity. Tout analyseur peut être facilement configuré dans le cadre de votre intégration continue (CI) pour analyser votre code ou les ressources d'artéfacts à la recherche de vulnérabilités. Les scanners sont disponibles pour différentes catégories de sécurité, telles que :
- Analyse du code source (SAST)
- Analyse de la composition logicielle (SCA)
- Analyse des conteneurs
- Nomenclature logicielle (SBOM)
La liste des analyseurs pris en charge continue de croître, alors consultez la page Quoi de neuf pour des mises à jour régulières.
Dans les tableaux ci-dessous, la colonne Flux de Pull Request indique si le module de l'analyseur peut être configuré pour analyser dans un flux de Pull Request. Les analyseurs qui ne prennent pas en charge le flux de Pull Request doivent être configurés pour analyser dans le flux de la branche principale.
- Certains scanners nécessitent des variables d'environnement qui doivent être configurées dans l'ordre, par exemple, pour analyser des artéfacts générés. Par exemple, pour l'analyse des images de conteneurs.
- L'analyseur nécessite que le nom de l'image à analyser soit défini dans une variable d'environnement.
- Les tableaux ci-dessous incluent une colonne pour la configuration, indiquant si des variables d'environnement doivent être définies.
Analyse des images de conteneurs¶
| Analyseur | nom du module_registry | Flux de Pull Request | Configuration | Description |
|---|---|---|---|---|
| Image Trivy | boostsecurityio/trivy-image | non | BOOST_IMAGE_NAME | Le module Trivy analyse les images de conteneurs pour détecter les vulnérabilités en utilisant l'outil Trivy avec la commande image. Notez que le module Trivy utilise la variable d'environnement BOOST_IMAGE_NAME pour savoir quelle image analyser. Le flux d'intégration continue (CI) appelant le module Trivy doit le faire après la construction de l'image de conteneur et en définissant l'environnement avec le nom de l'image à analyser. |
Exemple¶
Exemple GitHub Actions¶
- name: scan-image
uses: boostsecurityio/boostsec-scanner-github@v4
with:
registry_module: boostsecurityio/trivy-image
api_token: ${{ secrets.BOOST_API_TOKEN }}
env:
BOOST_IMAGE_NAME: node:20.17.0-alpine
BOOST_SCAN_LABEL: node_20_17_0_alpine
Exemple GitLab Pipelines¶
include:
- remote: "https://raw.githubusercontent.com/boostsecurityio/boostsec-scanner-gitlab/main/scanner.yml"
scan-image:
stage: build
extends:
- .boost_scan
variables:
BOOST_SCANNER_REGISTRY_MODULE: boostsecurityio/trivy-image
BOOST_IMAGE_NAME: node:20.17.0-alpine
BOOST_SCAN_LABEL: node_20_17_0_alpine
Nomenclature logicielle¶
| Analyseur | nom du module_registry | Flux de Pull Request | Configuration | Description |
|---|---|---|---|---|
| SBOM Trivy | boostsecurityio/trivy-sbom | non | - | Le module Trivy pour SBOM collecte l'inventaire des composants à partir du code source en utilisant l'outil CLI trivy. |
| SBOM Trivy pour les images de conteneurs | boostsecurityio/trivy-sbom-image | non | BOOST_IMAGE_NAME | Le module Trivy pour SBOM collecte l'inventaire des composants à partir des images de conteneurs en utilisant l'outil Trivy. La variable d'environnement BOOST_IMAGE_NAME doit être définie avec le nom de l'image de conteneur à analyser. Le flux d'intégration continue (CI) appelant le module Trivy doit le faire après la construction de l'image de conteneur et en définissant l'environnement avec le nom de l'image à analyser. |