Ansichten:

Scannen eines Artefakts auf Schwachstellen, Malware und Geheimnisse

tmas scan <artifact to scan> -V -M -S
oder
tmas scan <artifact to scan> -VMS
oder
tmas scan <artifact to scan> --vulnerabilities --malware --secrets
Hinweis
Hinweis
Wenn Sie den scan-Befehl verwenden, aktivieren Sie mindestens einen Scanner.

Verwenden der Regionsflagge, um zu einer anderen Region zu wechseln

tmas scan docker:yourrepo/yourimage:tag -VMS --region=ap-southeast-2
Hinweis
Hinweis
Ein Missverhältnis zwischen dem TMAS API-Schlüssel und der Region, die zum DURCHSUCHEN verwendet wird, führt dazu, dass der Scan-Befehl mit einem 403 Forbidden-Fehler oder einem APIKeyPlatformMismatchError fehlschlägt.

Scannen eines Images in einer Remote-Registrierung

tmas scan registry:yourrepo/yourimage:tag -VMS
Die Verwendung eines Registrys als Artefaktquelle erfordert keine Container-Laufzeitumgebung. Darüber hinaus können Scan-Ergebnisse von Registry-Artefaktquellen für die Richtlinienbewertung in Container Security und Code Security verwendet werden.
Das Scannen von Bildern aus privaten Registrierungen erfordert, dass Sie sich vor dem Versuch des Scans mit Tools wie docker login beim Register anmelden. TMAS folgt dem Authentifizierungsverhalten von Docker, um die vorkonfigurierten Anmeldeinformationen von Docker zu verwenden.
Hinweis
Hinweis
Beim Ausführen von Malware-Suchen auf Bildern aus privaten Registries und der Verwendung von Docker credsStore (.docker/config.json), fügen Sie die credential-helpers=<your credsStore>-Konfiguration in die .config/containers/registries.conf-Datei ein. Zum Beispiel, wenn Docker credsStore desktop ist, fügen Sie credential-helpers = ["desktop"] hinzu. Beim Ausführen von Malware-Suchen auf Bildern aus privaten Registries auf Docker Hub, stellen Sie sicher, dass Sie sich mit dem Servernamen https://docker.io oder docker.io anmelden. Zum Beispiel, docker login docker.io.

Info-Logs aktivieren

tmas scan docker:yourrepo/yourimage:tag -VMS -v

Speichern des für die Sicherheitslückenanalyse verwendeten SBOM auf der Festplatte

tmas scan docker:yourrepo/yourimage:tag -VMS --saveSBOM
Wenn das --saveSBOM-Flag aktiviert ist, wird das generierte SBOM im lokalen Verzeichnis gespeichert, bevor es zur Überprüfung an Trend Vision One gesendet wird.

Verwenden des Distro-Flags, um die Betriebssystem-Distributionsdetails für Open-Source-RPM-Datei-Artefakte anzugeben

Das --distro-Schwachstellen-Scanner-Flag ermöglicht es Ihnen, OS-Verteilungsdetails für Datei- und Verzeichnisartefakte anzugeben, die keine OS-Informationen enthalten, wie z. B. Open-Source-RPM-Dateien.
Geben Sie die genaue Betriebssystemdistribution an, auf der Sie das Paket installieren möchten, um eine genaue Zuordnung von Open-Source-Sicherheitslücken sicherzustellen.
tmas scan file:sample-file.rpm -V --distro ol:8.4
Das --distro-Flag ist für das Scannen von unveränderten, Open-Source-RPM-Dateien vor deren Installation vorgesehen. Dieses Flag kann nur verwendet werden, wenn Verzeichnisse und Datei-Artefakte auf Schwachstellen DURCHSUCHT werden.
Beim Scannen des Stammverzeichnisses eines Dateisystems (z. B. tmas scan dir:/ -V) erkennt TMAS automatisch die Betriebssystemverteilungsinformationen basierend auf dem Inhalt der Datei /etc/os-release. Jeder mit dem --distro-Flag angegebene Wert wird ignoriert, und es erscheint eine Warnmeldung.

Verwenden des Plattform-Flags zur Angabe der Plattform oder Architektur von Container-Images

Mit diesem Flag können Sie angeben, welche Plattform oder Architektur beim Scannen von Container-Images mit mehreren Architekturen verwendet werden soll:
tmas scan registry:yourrepo/yourimage:tag@sha256:<multiple-architecture-digest> -VMS --platform=arm64
Der Versuch, eine Architektur für Multi-Arch-Registry-Images anzugeben, ohne Unterstützung für diese Architektur, führt zu einem Fehler. Beim Scannen architekturspezifischer Registry-Images wird das Plattform-Flag ignoriert.
tmas scan docker:yourrepo/yourimage:tag@sha256:<arm64-specific-digest> -VMS --platform=arm64
Hinweis
Hinweis
Diese Flagge ist erforderlich, wenn versucht wird, Bilder vom Docker- oder Podman-Daemon mit anderen Architekturen als dem Host, auf dem TMAS läuft, zu DURCHSUCHEN.

Überschreiben von Sicherheitslücken und geheimen Funden

tmas scan <artifact_to_scan> -VMS --override path/to/tmas_overrides.yml
Verwenden Sie den obigen Befehl, um Fehlalarme oder andere Sicherheitslücken oder Geheimnisfunde zu überschreiben, die Sie ignorieren möchten. Die Überschreibungsdatei verwendet eine YAML-Struktur mit Regeln, die unter jedem Suchtyp definiert sind, wie vulnerabilities oder secrets, zum Beispiel. Wenn Sie Überschreibungen sowohl für Geheimnisse als auch für Schwachstellen bereitstellen, geben Sie alle Überschreibungen in derselben YAML-Datei an. Weitere Informationen finden Sie unter Sicherheitslücken und Geheimnisfunde überschreiben.
Hinweis
Hinweis
Das Überschreiben von Malware-Funden wird derzeit nicht unterstützt.

Verwenden Sie das evaluatePolicy-Flag, um Scan-Ergebnisse gegen Code-Sicherheitsrichtlinien zu bewerten

Wichtig
Wichtig
Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Vorab-Haftungsausschluss vor der Verwendung der Funktion.
 
tmas scan <artifact_to_scan> -VMS --evaluatePolicy
Verwenden Sie den obigen Befehl, um die Scan-Ergebnisse mit Ihrer Code-Sicherheitsrichtlinie zu bewerten und die Richtlinienbewertungsfunktionalität in der Vorschau anzuzeigen.
Die Richtlinienbewertung ist für Schwachstellen, Geheimnisse und Malware-Suchprogramme verfügbar. Zum Beispiel:
tmas scan vulnerabilities <artifact_to_scan> --evaluatePolicy
Eine Standardrichtlinie wird für alle Konten bereitgestellt, oder Sie können sie in der Trend Vision One-Konsole anpassen. TMAS gibt die Ergebnisse zurück und beendet sich mit dem Statuscode 2, wenn die Richtlinie verletzt wird. Erfahren Sie mehr über Code-Sicherheitsrichtlinien.