トレンドマイクロ Artifact Scanner (TMAS) は、継続的インテグレーション (CI) または継続的デリバリー (CD) パイプラインに統合できます。
たとえば、Jenkinsプロジェクトでは、Dockerイメージを自動的にビルド、テストして、Dockerレジストリにプッシュできます。イメージは、プッシュされるとすぐにオーケストレーション環境で実行できるようになります。オープンソースの脆弱性がイメージに存在する場合、イメージの実行時にリスクとなります。イメージは不変であることを目的としているため、イメージはクラスタにデプロイする前に検索する必要があります。
TMASがスキャンできるアーティファクトの例は次のとおりです:
-
コンテナイメージ
-
バイナリファイル
-
ソースコードを含むディレクトリ
-
OCIアーカイブ
GitHubアクションを使用してTMASをインストールする
TMAS GitHubアクションは、自動化されたCI/CD統合を使用して、ポリシーをパイプライン内で直接適用するために、プルリクエストまたはプッシュごとに検索を実行します。
TMAS GitHubアクションには次の機能が含まれています:
-
GitHubリポジトリのソースコード、コンテナイメージ、ビルド成果物を検索します。
-
検索結果と詳細なログを含むプルリクエストコメントを自動的に投稿します。
-
指定されたTMAS CLIバージョンをGitHubランナーにインストールし、選択したアーティファクトで検索を実行します。
-
自動的に最新のtmasバージョンにアップデートします。
-
コードセキュリティポリシーを追加して、特定のパラメータを満たすプルリクエストのマージを許可またはブロックするなどのポリシースタンダードを強制します。詳細はこちら。
注意
ポリシー適用はコードセキュリティの展開のみサポートされています。
TMASを手動でインストールする
TMAS は、CI/CD パイプライン内の アーティファクト をスキャンします。トレンドマイクロ Artifact Scanner CLI を CI/CD パイプラインにインストールして、アーティファクトが本番環境にデプロイされる前にスキャンを実行できます。脆弱性スキャンの場合、TMAS
はスキャンしたいアーティファクトを取得し、ソフトウェア部品表 (SBOM) を生成します。その後、SBOM を Trend Vision One にアップロードして処理し、脆弱性レポートを返します。
システムアーキテクチャを選択して、CI/CDパイプラインに統合するためのアーティファクト検索インストーラーをダウンロードしてください。最新バージョンはmetadata.jsonを使用して確認できます。
|
アーキテクチャ
|
|
Darwin_arm64 (MacOS - Apple Siliconチップセット)
|
|
Darwin_x86_64 (MacOS - Intelチップセット)
|