ソフトウェアコンポジション分析 (SCA) 脆弱性データベースを更新する

ソフトウェアコンポジション分析 (SCA) 脆弱性データベースには、最も一般的なセキュリティー脆弱性データベース (NVD、Github アドバイザリー、Microsoft MSRC)、広範にわたるあまり知られていないセキュリティーアドバイザリーとオープンソース・プロジェクト問題追跡ツールが含まれます。AppScan 360° ユーザーは、インストール時に SCA 脆弱性データベースの自動更新を有効にしたり、手動更新を構成したりできます。

脆弱性データベースを定期的に更新することで、ダウンタイムを最小限に抑えながら、AppScan 360° では、ソフトウェアコンポジション分析 (SCA) スキャンの最新の脆弱性情報を常に配置できるようになります。

更新は、AppScan 360° のオンラインとオフラインの両方の配置に対して設定することができます。
  • オンライン/自動

    AppScan 360° をインストールすると、ソフトウェアコンポジション分析 (SCA) データベースに関する情報が提供されます (AppScan 360° のシングル仮想マシンへのカスタム・インストール の設定に関する質問の一部として、または AppScan 360°分散インストール用の構成ファイルをセットアップする際)。この情報により、インストールプロセスでデータベースの自動更新を設定できました。これ以上のアクションは不要です。

    有効な ID で HCL Harbor へのアクセスを AppScan 360° 配置で維持している限り、AppScan 360° は定期的に HCL Harbor レジストリーの更新を確認し、それらの更新を自動的に取得して適用します。更新プロセスでは、スキャンが中断されたり、ダウンタイムが発生することはありません
    注: インストール後に SCA データベースの自動更新を有効にするには、この資料を参照してください。
    注: FIPS 対応の AppScan 360° のダウンロードでは、ソフトウェアコンポジション分析 (SCA) データベースの自動更新は利用できません。
  • オフライン/手動

    最新のソフトウェアコンポジション分析 (SCA) 脆弱性データベースイメージをローカルレジストリーに定期的に更新することで、制限された環境や隔離された環境でも最新の更新と同様にスキャン結果を最新の状態に保つことができます。

    手動更新には、HCL Harbor (有効な ID 付き) からイメージのダウンロード先にするサードパーティー・システムおよびこれらのイメージを AppScan 360° 配置システムに転送する安全な方法が必要です。

    サードパーティー・システムは、次のものにアクセスできる必要があります。
    • hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi
    • hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi
      注: Docker プライベートレジストリーに自己署名証明書がある場合、レジストリーが TLS 検証エラーで失敗しないように、これらの証明書は Docker エンジンによって信頼される必要があります。

ソフトウェアコンポジション分析 (SCA) 脆弱性データベースを手動で更新する

脆弱性データベースを更新するプロセスは次のとおりです。
  1. cvesearchapilibrarysearchapi を HCL Harbor からサードパーティーのインターネット接続システムにダウンロードします。
  2. ArgoApplication helm のチャートをサードパーティーのインターネット接続システムにダウンロードします。
  3. イメージを AppScan 360° 配置システムに転送します。
  4. 転送されたイメージを AppScan 360° 配置システムに読み込みます。
  5. AppScan 360° 配置システムでダウンロードを検証します。
  6. AppScan 360° 配置システムで ArgoCD イメージアップデーターを構成します。
  7. AppScan 360° 配置システムで ArgoCD イメージアップデーター・ポッドを再起動します。

cvesearchapi および librarysearchapi イメージをサードパーティーのインターネット接続システムにダウンロードするには、次のコマンドを実行します。

  1. docker login hclcr.io -u <harbor username> -p <harbor password>
  2. docker pull hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build
  3. docker image save hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build > librarysearchapi_newest-build.tar
  4. docker pull hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  5. docker image save hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build > cvesearchapi_newest-build.tar
ArgoApplication helm チャートをサードパーティーのインターネット接続システムにダウンロードするには、次のコマンドを実行します。
  1. helm registry login hclcr.io --username "<harbor username>" --password "<harbor password>"
  2. helm pull oci://hclcr.io/appscan360/as360-k8s-helm-packages/scaargoapplication --version 0.1.1 --untar
  3. helm package scaargoapplication/
    注: パッケージ scaargoapplication-0.1.1.tgz が作成されたかどうかを確認します

サードパーティーのインターネット接続システムから AppScan 360° 配置システムにファイルを転送するには、次の手順を実行します。

組織で承認されたファイル転送を使用して、次のファイルを転送します。

  • scaargoapplication-0.1.1.tgz

  • cvesearchapi_newest-build.tar

  • librarysearchapi_newest-build.tar

イメージを AppScan 360° 配置システムの <customregistryurl> に読み込むには、次の手順を実行します。
  1. docker load -i librarysearchapi_newest-build.tar
  2. docker tag hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build <custom registry url>/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build
  3. docker push <custom registry url>/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build
  4. docker load -i cvesearchapi_newest-build.tar
  5. docker tag hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  6. docker push <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  7. helm registry login <custom registry url> --username "<custom registry username>" --password "<custom registry password>" --insecure
  8. helm push scaargoapplication-0.1.1.tgz oci://<custom registry url>/appscan360-staging/as360-k8s-helm-packages/
ダウンロードを確認するには、次のコマンドを実行します。
  1. docker pull <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build
  2. helm pull oci://<custom registry url>/appscan360-staging/as360-k8s-helm-packages/scaargoapplication:0.1.1
ArgoCD イメージアップデーターを構成するには、次のコマンドを実行します。
  • kubectl patch configmap argocd-image-updater-config \
    -n hcl-appscan-sca \
    --type merge \
    -p '{"data":{"registries.conf":"registries:\n  - name: sca180acr\n    defaultns: hcl-appscan-sca\n    default: true\n    api_url: https://<custom registry url>\n    prefix: <custom registry url>\n    insecure: true\n    credentials: pullsecret:hcl-appscan-sca/sca-harbor-registry-secret"}}'
ArcgoCD イメージアップデーター・ポッドを再起動するには、次のコマンドを実行します。
  • kubectl delete pod -l app.kubernetes.io/name=argocd-image-updater -n hcl-appscan-sca