Modules d'enregistrement des scanners¶
BoostSecurity prend en charge plusieurs modules de scanner qui sont disponibles via le registre de module BoostSecurity. Tout module de scanner peut être facilement configuré dans le cadre de votre intégration continue (CI) pour analyser votre code ou les ressources d'artéfacts à la recherche de vulnérabilités. Les scanners sont disponibles pour différentes catégories de sécurité, telles que :
- Analyse du code source (SAST)
- Analyse de la composition logicielle (SCA)
- Analyse des conteneurs
- Facture des matériaux logiciels (SBOM)
La liste des scanners pris en charge continue de croître, alors consultez la page Quoi de neuf pour des mises à jour régulières.
Dans les tableaux ci-dessous, la colonne Flux de demande de tirage indique si le module du scanner peut être configuré pour analyser dans un flux de demande de tirage. Les modules de scanner qui ne prennent pas en charge le flux de demande de tirage doivent être configurés pour analyser dans le flux de la branche principale.
- Certains scanners nécessitent des variables d'environnement qui doivent être configurées dans l'ordre, par exemple, pour scanner des artéfacts générés. Par exemple, pour l'analyse des images de conteneurs.
- Le scanner nécessite que le nom de l'image à analyser soit défini dans une variable d'environnement.
- Les tableaux ci-dessous incluent une colonne pour la configuration, indiquant si des variables d'environnement doivent être définies.
Analyse des images de conteneurs¶
| Scanner | nom du module_registry | Flux de demande de tirage | Configuration | Description |
|---|---|---|---|---|
| Image Trivy | boostsecurityio/trivy-image | non | BOOST_IMAGE_NAME | Le module Trivy analyse les images de conteneurs pour détecter les vulnérabilités en utilisant l'outil Trivy avec la commande image. Notez que le module Trivy utilise la variable d'environnement BOOST_IMAGE_NAME pour savoir quelle image analyser. Le flux d'intégration continue (CI) appelant le module Trivy doit le faire après la construction de l'image de conteneur et en définissant l'environnement avec le nom de l'image à analyser. |
Exemple¶
Exemple GitHub Actions¶
- name: scan-image
uses: boostsecurityio/boostsec-scanner-github@v4
with:
registry_module: boostsecurityio/trivy-image
api_token: ${{ secrets.BOOST_API_TOKEN }}
env:
BOOST_IMAGE_NAME: node:20.17.0-alpine
BOOST_SCAN_LABEL: node_20_17_0_alpine
Exemple GitLab Pipelines¶
include:
- remote: "https://raw.githubusercontent.com/boostsecurityio/boostsec-scanner-gitlab/main/scanner.yml"
scan-image:
stage: build
extends:
- .boost_scan
variables:
BOOST_SCANNER_REGISTRY_MODULE: boostsecurityio/trivy-image
BOOST_IMAGE_NAME: node:20.17.0-alpine
BOOST_SCAN_LABEL: node_20_17_0_alpine
Facture des matériaux logiciels¶
| Scanner | nom du module_registry | Flux de demande de tirage | Configuration | Description |
|---|---|---|---|---|
| SBOM Trivy | boostsecurityio/trivy-sbom | non | - | Le module Trivy pour SBOM collecte l'inventaire des composants à partir du code source en utilisant l'outil CLI trivy. |
| SBOM Trivy pour les images de conteneurs | boostsecurityio/trivy-sbom-image | non | BOOST_IMAGE_NAME | Le module Trivy pour SBOM collecte l'inventaire des composants à partir des images de conteneurs en utilisant l'outil Trivy. La variable d'environnement BOOST_IMAGE_NAME doit être définie avec le nom de l'image de conteneur à analyser. Le flux d'intégration continue (CI) appelant le module Trivy doit le faire après la construction de l'image de conteneur et en définissant l'environnement avec le nom de l'image à analyser. |