Перейти к основному содержимому
Версия: 1.6

Интеграция в CI-процесс

Система поддерживает интеграцию сканирования уязвимостей в GitLab CI/CD pipeline и возможность передачи результатов сканирования в систему. Этот способ реализован с помощью специального скрипта.

Настройка переменных окружения

Для работы скрипта заполните специальные переменные в блоке variables файла .gitlab-ci.yml. Список этих переменных представлен ниже.

ПеременнаяОписание
IMAGE_TO_SCANDocker-образ для сканирования (формат: yourimagename/latest)
REPORT_FILEИмя файла для сохранения отчета (по умолчанию: trivy-report.json)
API_URLURL API для отправки результатов: http://your-tronasoc-url/api/v1/check/{check_id}/external
API_TOKENAPI-токен для аутентификации в TRON.ASOC (формат: asoc-your_api_token_here)

Пример реализации CI/CD-пайплайна в Trivy и Grype

CI/CD-пайплайн состоит из двух этапов:

  1. scan — проверка образа на наличие уязвимостей.
  2. upload — отправка результатов сканирования в TRON.ASOC.

Пример скрипта для Trivy представлен ниже.

stages:
- scan
- upload

variables:
IMAGE_TO_SCAN: "anaisurlichs/cns-website:0.0.6" # Целевой Docker-образ
REPORT_FILE: "trivy-report.json" # Файл отчета
API_URL: "http://example.asoc.ximi.group/api/v1/check/{check_id}/external"
API_TOKEN: "asoc-exampletoken" # Защищенный токен доступа

scan_image:
stage: scan
image: aquasec/trivy:latest # Официальный образ Trivy
script:
- trivy image --format json --output ${REPORT_FILE} ${IMAGE_TO_SCAN}
- echo "[INFO] Сканирование завершено. Отчет сохранен в ${REPORT_FILE}"
artifacts:
paths:
- ${REPORT_FILE}
when: always # Сохранять артефакты даже при ошибках
expire_in: 1 week # Срок хранения артефактов

upload_report:
stage: upload
image: curlimages/curl:latest # Образ с curl
script:
- echo "[INFO] Отправка отчета ${REPORT_FILE} на ${API_URL}"
- >
curl --fail --location "${API_URL}" \
--header "x-api-token: ${API_TOKEN}" \
--header "Content-Type: application/json" \
--data-binary @"${REPORT_FILE}"
dependencies:
- scan_image # Ожидание завершения сканирования

Пример скрипта для Grype представлен ниже.

grype_scan:
image: anchore/grype:latest
stage: scan
script:
- echo "[INFO] Начато сканирование образа ${IMAGE_TO_SCAN}"
- grype ${IMAGE_TO_SCAN} --output json --file ${REPORT_FILE}
- test -f ${REPORT_FILE} && echo "[SUCCESS] Отчет сохранен в ${REPORT_FILE}"
artifacts:
paths:
- ${REPORT_FILE}
when: always

Рекомендации при настройке пайплайна

При настройке CI/CD-пайплайна учитывайте следующее:

  • для существующих отчетов можно использовать только этап upload;
  • сохраняйте все чувствительные данные (API_TOKEN) в защищенных переменных GitLab;
  • при создании пайплайна для других инструментов (Semgrep, KICS и т.д.) измените следующие параметры:
    • Docker-образ в image;
    • команда сканирования в script.
Нашли ошибку или неточность?