アーティファクト検索ツールのCLI

ビュー:

一般的な使用法
使用可能なコマンド
グローバルフラグ
検索コマンドの使用方法
検索コマンドフラグ
サポートされているアーティファクト
不正プログラム検索の有効化
サブコマンド検索の使用方法
脆弱性サブコマンド
不正プログラムサブコマンド
Secrets subcommand
プロキシ設定

一般的な使用法

トレンドマイクロ Artifact Scannerを使用するコマンドの例については、次を参照してください。例。

tmas [command] [flags]

使用可能なコマンド

コマンド	説明
`スキャン`	アーティファクトを検索する
`バージョン`	現在のCLIバージョンの取得 (long)
`help`	ヘルプ

グローバルフラグ

フラグ	説明
`--バージョン`	現在のCLIバージョンの取得 (短縮形)
`-v、--verbose`	詳細度を上げる (-v = info、-vv = debug)
`-h, --help`	ヘルプ

検索コマンドの使用方法

tmasスキャン [artifact] [flags]

検索コマンドフラグ

フラグ	説明
`-p、--プラットフォーム`	(文字列) マルチプラットフォームコンテナイメージソースのプラットフォーム指定子。たとえば`linux/arm64` , `linux/arm64/v8` ,`アーム64` , `Linux` 。初期設定: `Linux/amd64` 。
`-r, --region`	(文字列)Trend Vision Oneサービス提供地域: `ap-southeast-2` , `eu-central-1` , `ap-south-1` , `ap-northeast-1` , `ap-southeast-1` , `us-east-1` 初期設定: `us-east-1` 。
`-o、--オーバーライド`	上書きルールを含むファイルへのファイルパスを指定します (オプション)。例: `/path/to/tmas_vuln_overrides.yml`
`--saveSBOM`	SBOMをローカルディレクトリに保存する (オプション)
`--不正プログラム検索`	不正プログラム検索を有効にする (オプション)。`ドッカー`, `docker-archive` , `oci-archive` , `oci-dir` 、および`レジストリ`アーティファクトの種類。

サポートされているアーティファクト

アーティファクト	説明
`docker:yourrepo/yourimage:tag`	Dockerデーモンのイメージを使用する
`podman:yourrepo/yourimage:tag`	Podmanデーモンのイメージを使用する
`docker-archive:path/to/yourimage.tar`	docker saveから作成されたアーカイブには、ディスクのtarballを使用します。
`oci-archive:path/to/yourimage.tar`	SkopeoなどのOCIアーカイブには、ディスクのtarballを使用します。
`oci-dir:path/to/yourimage`	OCIレイアウトディレクトリのディスク上のパスから直接読み取ります (Skopeoなどから)。
`特異点:path/to/yourimage.sif`	ディスク上のSingularity Image Format (SIF) コンテナから直接読み取ります。
`レジストリ:リポジトリ/イメージ:タグ`	レジストリからイメージを直接プルします (コンテナランタイムは不要)。
`dir:path/to/yourproject`	ディスク上のパス (任意のディレクトリ) から直接読み取ります。
`ファイル:path/to/yourproject/file`	ディスク上のパス (任意の単一ファイル) から直接読み取ります。

検索は、生成されたSBOMデータが10MB未満のアーティファクトに限定されます。

不正プログラム検索でサポートされるのは、ドッカー, docker-archive , oci-archive , oci-dir 、およびレジストリアーティファクトの種類。

不正プログラム検索の有効化

不正プログラム対策 (AMaaS) SDKを使用すると、トレンドマイクロ Artifact Scannerで不正プログラム検索用のコンテナイメージを検索できます。不正プログラム検索でサポートされるのは、ドッカー, docker-archive , oci-archive , oci-dir 、およびレジストリアーティファクトの種類。 AMaaSを使用するには、 --不正プログラム検索コマンドフラグ。

重要

検索の制限:

単一ファイルの最大サイズ制限は1GBです。 1GBを超えるファイルは検索対象外です。
シングルレイヤの最大サイズ制限は512MBです。検索では、512MBを超えるレイヤはスキップされます。

注意

を使用してプライベートレジストリからイメージをスキャンする場合--不正プログラム検索フラグが有効な場合は、次のようなツールを使用してレジストリにログイン済みであることを確認しますdockerログイン。

Docker credsStore ( .docker/config.json )、 credential-helpers=<your credsStore>で.config/containers/registries.conf 。たとえば、 docker credsStoreはデスクトップで、次を追加します。

credential-helpers = ["desktop"]

注意

不正プログラム対策検索を実行するには、トレンドマイクロ Artifact Scanner 1.55.0以降を使用している必要があります。

サブコマンド検索の使用方法

tmasスキャン [subcommand] [artifact] [flags]

サブコマンド	説明
`脆弱性`	アーティファクトに対して脆弱性検索を実行します。
`不正プログラム`	アーティファクトに対して不正プログラム検索を実行します。
`secrets`	アーティファクトに対してシークレットスキャンを実行します。

脆弱性サブコマンド

tmas検索の脆弱性<>

フラグ	説明
`-p、--プラットフォーム`	(文字列) マルチプラットフォームコンテナイメージソースのプラットフォーム指定子。たとえば`linux/arm64` , `linux/arm64/v8` ,`アーム64` , `Linux` 。初期設定: `Linux/amd64` 。
`-r, --region`	(文字列)Trend Vision Oneサービス提供地域: `ap-southeast-2` , `eu-central-1` , `ap-south-1` , `ap-northeast-1` , `ap-southeast-1` , `us-east-1` 初期設定: `us-east-1` 。
`-o、--オーバーライド`	オーバーライドルールを含むファイルのファイルパスを指定します（オプション）。例えば: `/path/to/tmas_overrides.yml`
`--saveSBOM`	SBOMをローカルディレクトリに保存する (オプション)
`-v、--verbose`	詳細度を上げる (-v = info、-vv = debug)
`-h, --help`	ヘルプ

不正プログラムサブコマンド

tmas検索不正プログラム<>

フラグ	説明
`-p、--プラットフォーム`	(文字列) マルチプラットフォームコンテナイメージソースのプラットフォーム指定子。たとえば`linux/arm64` , `linux/arm64/v8` ,`アーム64` , `Linux` 。初期設定: `Linux/amd64` 。
`-r, --region`	(文字列)Trend Vision Oneサービス提供地域: `ap-southeast-2` , `eu-central-1` , `ap-south-1` , `ap-northeast-1` , `ap-southeast-1` , `us-east-1` 初期設定: `us-east-1` 。
`-v、--verbose`	詳細度を上げる (-v = info、-vv = debug)
`-h, --help`	ヘルプ

不正プログラム検索でサポートされるのは、ドッカー, docker-archive , oci-archive , oci-dirそしてレジストリアーティファクトの種類。

Secrets サブコマンド

tmas scan secrets <artifact_to_scan>

フラグ	説明
`-p, --platform`	(string) マルチプラットフォームコンテナイメージソースのプラットフォーム指定子。例えば `linux/arm64`、`linux/arm64/v8`、`arm64`、`linux`。デフォルトは `linux/amd64` です。
`-r, --region`	(string) Trend Vision One サービス地域: `ap-southeast-2`, `eu-central-1`, `ap-south-1`, `ap-northeast-1`, `ap-southeast-1`, `us-east-1` デフォルトは`us-east-1`です。
`-r, --override`	オーバーライドルールを含むファイルのファイルパスを指定します（オプション）。例えば: `/path/to/tmas_overrides.yml`。
`-v, --verbose`	詳細度を上げる (-v = info, -vv = debug)
`-h, --help`	ヘルプ

注意

シークレットスキャンは、10 MB未満のシークレット検出レポートを生成するアーティファクトに限定されます。
バイナリファイルおよびZIPファイルは現在サポートされていません。
secretsサブコマンドの結果は、Container Securityアドミッションコントロールポリシーの評価に貢献します。アドミッション評価にシークレットスキャンの結果を含めるには、Container Securityポリシーを参照してください。
シークレットスキャンの検出結果は、Trend Vision Oneに送信される前に編集されます。

プロキシ設定

CLIツールは、次のオプションの環境変数のセットからプロキシ設定をロードします。

環境変数	必須/オプション	説明
`NO_PROXY`	オプションかどうか	CLIツールのプロキシ設定をスキップする場合は、ホスト名のカンマ区切りリストにアーティファクト検索および不正プログラム検索エンドポイントを追加します。注意: すべてのホストに一致するのはアスタリスク (*) のみです。
`HTTP_PROXY`	オプションかどうか	http://proxy.example.com
`HTTPS_PROXY`	オプションかどうか	https://proxy.example.com プロキシサーバがSOCKS5プロキシの場合は、URLでSOCKS5プロトコルを「socks5://socks_proxy.example.com」のように指定する必要があります。
`PROXY_USER`	オプションかどうか	で使用される認証ヘッダのオプションのユーザ名`プロキシ認証`
`PROXY_PASS`	オプションかどうか	で使用される認証ヘッダのオプションのパスワード`プロキシ認証`の場合にのみ使用されます。 `PROXY_USER`が設定されています