更新軟體組成分析 (SCA) 漏洞資料庫
軟體組成分析 (SCA) 漏洞資料庫包含最熱門的安全性漏洞資料庫(NVD、Github 諮詢、Microsoft MSRC),以及許多較冷門的安全諮詢和開放程式碼專案問題追蹤程式。AppScan 360° 使用者可在安裝時啟用 SCA 漏洞資料庫的自動更新,或配置手動更新。
定期更新漏洞資料庫可確保 AppScan 360° 部署在進行軟體組成分析 (SCA) 掃描時始終擁有最新的漏洞資訊,同時將停機時間縮到最短。
更新可針對 AppScan 360° 的線上與離線部署進行設定:
- 線上/自動
當您安裝 AppScan 360° 時,您會提供有關軟體組成分析 (SCA) 資料庫的相關資訊(作為 在單一虛擬機器上自訂安裝 AppScan 360° 中的一部分配置問題,或是在為 AppScan 360° 的分散式安裝設定配置檔時提供)。此類資訊使安裝程序能夠配置資料庫的自動更新功能。不需執行進一步動作。
只要 AppScan 360° 部署能以有效 ID 存取 HCL Harbor,AppScan 360° 便會定期檢查 HCL Harbor 登錄是否有更新,同時自動提取並套用這些更新。更新程序不會中斷掃描或造成停機。註: 若要在安裝後啟用 SCA 資料庫的自動更新,請參閱這篇文章。註: 啟用 FIPS 的 AppScan 360° 下載版本不支援軟體組成分析 (SCA) 資料庫的自動更新。 - 離線/手動
即使在受限制或實體隔離環境中,定期將最新的軟體組成分析 (SCA) 漏洞資料庫映像檔更新至本端登錄,也能讓您的掃描結果與最新更新保持同步。
手動更新需有第三方系統,以便從 HCL Harbor(需有效 ID)下載映像檔,並透過安全的方式將映像檔傳輸至 AppScan 360° 部署系統。
第三方系統必須具備以下存取權限:hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapihclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi註: 如果 Docker Private Registry 使用自簽憑證,則 Docker 引擎必須信任這些憑證,以確保登錄不會因 TLS 驗證錯誤而失敗。
手動更新軟體組成分析 (SCA) 漏洞資料庫
更新漏洞資料庫的程序如下:
- 從 HCL Harbor 將
cvesearchapi和librarysearchapi下載至第三方連網系統。 - 將 ArgoApplication Helm 圖表下載至第三方連網系統。
- 將映像檔傳輸至 AppScan 360° 部署系統。
- 將傳輸的映像檔載入 AppScan 360° 部署系統。
- 在 AppScan 360° 部署系統上驗證下載內容。
- 在 AppScan 360° 部署系統上配置 ArgoCD Image Updater。
- 在 AppScan 360° 部署系統上重新啟動 ArgoCD Image Updater Pod。
若要將 cvesearchapi 和 librarysearchapi 映像檔下載至第三方連網系統,請執行下列指令:
-
docker login hclcr.io -u <harbor username> -p <harbor password> -
docker pull hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build -
docker image save hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build > librarysearchapi_newest-build.tar -
docker pull hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build -
docker image save hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build > cvesearchapi_newest-build.tar
若要將 ArgoApplication Helm 圖表下載至第三方連網系統,請執行下列指令:
-
helm registry login hclcr.io --username "<harbor username>" --password "<harbor password>" -
helm pull oci://hclcr.io/appscan360/as360-k8s-helm-packages/scaargoapplication --version 0.1.1 --untar -
helm package scaargoapplication/註: 確認是否已建立套件scaargoapplication-0.1.1.tgz
若要將檔案從第三方連網系統傳輸至 AppScan 360° 部署系統:
請使用貴組織核准的檔案傳輸方式來傳輸以下檔案:
-
scaargoapplication-0.1.1.tgz -
cvesearchapi_newest-build.tar -
librarysearchapi_newest-build.tar
若要在 AppScan 360° 部署系統上將映像檔載入您的
<customregistryurl>:-
docker load -i librarysearchapi_newest-build.tar -
docker tag hclcr.io/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build <custom registry url>/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build -
docker push <custom registry url>/appscan360/as360-k8s-docker-images/librarysearchapi:newest-build -
docker load -i cvesearchapi_newest-build.tar -
docker tag hclcr.io/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build -
docker push <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build -
helm registry login <custom registry url> --username "<custom registry username>" --password "<custom registry password>" --insecure -
helm push scaargoapplication-0.1.1.tgz oci://<custom registry url>/appscan360-staging/as360-k8s-helm-packages/
若要驗證下載內容,請執行下列指令:
-
docker pull <custom registry url>/appscan360/as360-k8s-docker-images/cvesearchapi:newest-build -
helm pull oci://<custom registry url>/appscan360-staging/as360-k8s-helm-packages/scaargoapplication:0.1.1
若要配置 ArgoCD Image Updater,請執行下列指令:
-
kubectl patch configmap argocd-image-updater-config \ -n hcl-appscan-sca \ --type merge \ -p '{"data":{"registries.conf":"registries:\n - name: sca180acr\n defaultns: hcl-appscan-sca\n default: true\n api_url: https://<custom registry url>\n prefix: <custom registry url>\n insecure: true\n credentials: pullsecret:hcl-appscan-sca/sca-harbor-registry-secret"}}'
若要重新啟動 ArgoCD Image Updater Pod,請執行下列指令:
-
kubectl delete pod -l app.kubernetes.io/name=argocd-image-updater -n hcl-appscan-sca