Mise à jour de la base de données de vulnérabilités liées à l'analyse de la composition logicielle (SCA)

La base de données de vulnérabilités liée à l'analyse de la composition logicielle (SCA) inclut les bases de données de vulnérabilité de sécurité les plus courantes (NVD, Github advisory, Microsoft MSRC), ainsi qu'un large éventail d'avis de sécurité moins connus et de dispositifs de suivi des problèmes de projet Open Source. Les utilisateurs AppScan 360° peuvent activer la mise à jour automatique de la base de données de vulnérabilités SCA lors de l'installation ou configurer la mise à jour manuelle.

Les mises à jour régulières de la base de données de vulnérabilités garantissent que les déploiements AppScan 360° disposent toujours des dernières informations de vulnérabilité pour l'Analyse de la composition logicielle (SCA) tout en minimisant les temps d'arrêt.

La mise à jour peut être configurée pour les déploiements en ligne et hors ligne de AppScan 360° :
  • En ligne/automatique

    Lorsque vous avez installé AppScan 360°, vous avez donné des informations relatives à la base de données d'analyse de la composition logicielle (SCA) (dans le cadre des questions de configuration dans Installation personnalisée d'AppScan 360° sur une seule machine virtuelle ou lors de la configuration du fichier de configuration pour l'installation répartie). Ces informations ont permis au processus d'installation de configurer la mise à jour automatique de la base de données. Aucune autre action n'est requise.

    Tant que le déploiement AppScan 360° conserve l'accès à HCL Harbor avec un ID valide, AppScan 360° vérifie régulièrement le registre HCL Harbor pour obtenir des mises à jour, puis extrait et applique automatiquement ces mises à jour. Le processus de mise à jour n'interrompt pas l'examen et ne provoque pas de temps d'arrêt.
    Remarque : Pour activer la mise à jour automatique de la base de données SCA après l'installation, voir cet article.
    Remarque : La mise à jour automatique de la base de données d'analyse de la composition logicielle (SCA) n'est pas disponible pour le téléchargement FIPS de AppScan 360°.
  • Hors ligne/manuel

    La mise à jour régulière de la dernière image de base de données de vulnérabilités de l'analyse de la composition logicielle (SCA) dans le registre local permet de conserver vos résultats d'examen à jour, même dans des environnements restreints ou isolés.

    La mise à jour manuelle nécessite un système tiers vers lequel télécharger les images depuis HCL Harbor (avec un ID valide) et une méthode sécurisée pour transférer ces images vers le système de déploiement AppScan 360°.

    Le système tiers doit avoir accès aux éléments suivants :
    • hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi
    • hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi
      Remarque : Si le registre privé Docker utilise des certificats auto-signés, ces certificats doivent être approuvés par le moteur Docker pour éviter les erreurs de validation TLS.

Mise à jour manuelle de la base de données de vulnérabilités de l'analyse de la composition logicielle (SCA)

Le processus de mise à jour de la base de données de vulnérabilités est le suivant :
  1. Téléchargez cvesearchapi et librarysearchapi de HCL Harbor vers un système tiers connecté à Internet.
  2. Téléchargez le graphique Helm ArgoApplication sur un système tiers connecté à Internet.
  3. Transférez les images vers le système de déploiement AppScan 360°.
  4. Chargez les images transférées dans le système de déploiement AppScan 360°.
  5. Vérifiez les téléchargements sur le système de déploiement AppScan 360°.
  6. Configurez le programme de mise à jour d'image ArgoCD sur le système de déploiement AppScan 360°.
  7. Redémarrez le pod du programme de mise à jour d'image ArgoCD sur le système de déploiement AppScan 360°.

Pour télécharger des images cvesearchapi librarysearchapi et les transférer vers un système tiers connecté à Internet, exécutez les commandes suivantes :

  1. docker login hclcr.io -u <harbor username> -p <harbor password>
  2. docker pull hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build
  3. docker image save hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build > librarysearchapi_newest-build.tar
  4. docker pull hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  5. docker image save hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build > cvesearchapi_newest-build.tar
Pour télécharger le graphique Helm ArgoApplication sur un système tiers connecté à Internet, exécutez les commandes suivantes :
  1. helm registry login hclcr.io --username "<harbor username>" --password "<harbor password>"
  2. helm pull oci://hclcr.io/appscan360/as360-k8s-helm-packages/scaargoapplication --version 0.1.1 --untar
  3. helm package scaargoapplication/
    Remarque : Vérifiez si le package scaargoapplication-0.1.1.tgz est créé.

Pour transférer les fichiers du système tiers connecté à Internet vers le système de déploiement AppScan 360° :

À l'aide du transfert de fichiers approuvé par votre organisation, transférez les fichiers suivants :

  • scaargoapplication-0.1.1.tgz

  • cvesearchapi_newest-build.tar

  • librarysearchapi_newest-build.tar

Pour charger les images sur votre <customregistryurl> sur le système de déploiement AppScan 360° :
  1. docker load -i librarysearchapi_newest-build.tar
  2. docker tag hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build <custom registry url>/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build
  3. docker push <custom registry url>/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build
  4. docker load -i cvesearchapi_newest-build.tar
  5. docker tag hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  6. docker push <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  7. helm registry login <custom registry url> --username "<custom registry username>" --password "<custom registry password>" --insecure
  8. helm push scaargoapplication-0.1.1.tgz oci://<custom registry url>/appscan360-staging/as360-k8s-helm-packages/
Pour vérifier les téléchargements, exécutez les commandes suivantes :
  1. docker pull <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  2. helm pull oci://<custom registry url>/appscan360-staging/as360-k8s-helm-packages/scaargoapplication:0.1.1
Pour configurer le programme de mise à jour d'image ArgoCD, exécutez les commandes :
  • kubectl patch configmap argocd-image-updater-config \
    -n hcl-appscan-sca \
    --type merge \
    -p '{"data":{"registries.conf":"registries:\n  - name: sca180acr\n    defaultns: hcl-appscan-sca\n    default: true\n    api_url: https://<custom registry url>\n    prefix: <custom registry url>\n    insecure: true\n    credentials: pullsecret:hcl-appscan-sca/sca-harbor-registry-secret"}}'
Pour redémarrer le programme de mise à jour d'image ArgoCD, exécutez la commande :
  • kubectl delete pod -l app.kubernetes.io/name=argocd-image-updater -n hcl-appscan-sca