[10.14 Workshop] 容器 DevSecOps 实践

前提条件



操作步骤

步骤一:绑定代码源

登录 Codeup 创建,点击个人设置,点击个人访问令牌。

  1. 个人访问令牌中,选择设置当前实验所需的最小权限。
  • 用户相关信息只读权限:read:user
  • 代码仓库及分支的只读权限:read:repo,read:repo:branch
  • 代码库Webhook的全部读写权限:read:repo:webhook、write:repo:webhook
  1. 个人信息中,获取对应的账号名。

登录 ACR 控制台,在代码源部分配置前面获取到的账号名个人访问令牌。

[10.14 Workshop] 容器 DevSecOps 实践

在代码源页面显示 Codeup 已绑定,则说明绑定成功。参考关于源代码绑定的帮助文档


步骤二:创建源代码仓库

  1. 在企业版实例管理页面左侧导航栏,选择仓库管理 > 镜像仓库。在镜像仓库页面单击目标仓库右侧操作列中的管理
  2. 单击左侧导航栏中的构建,在构建规则设置区域单击添加规则,配置构建规则,然后单击确定
    1. 构建信息页面:选择 Branch 类型,从下拉框中选择 master 分支。
    2. 镜像版本页面:填写镜像版本 v1.0,点击保存。


[10.14 Workshop] 容器 DevSecOps 实践

创建完成后,可在源代码仓库查看对应的构建规则,点击立即构建,可从 Codeup 上拉取容器镜像进行构建。


步骤三:创建云原生应用交付链

  1. 在企业版实例管理页面左侧导航栏中选择云原生交付链 > 交付链
  2. 创建交付链页面基本信息区域,输入以下信息。
    • 交付链名称:设置交付链的名称。
    • (可选)交付链描述:设置交付链的基本描述。
    • 交付链作用范围:选择前面创建的源代码仓库。
  1. 在交付链的安全扫描节点,配置一下信息。
    1. 安全引擎:选择云安全中心安全引擎
    2. 是否阻断:选择阻断。
    3. 是否删除:选择不删除。
    4. 漏洞等级:选择高危,漏洞个数:1个

[10.14 Workshop] 容器 DevSecOps 实践


步骤四:修改 Codeup 源代码,触发交付链自动构建及安全扫描

  1. Codeup,任意修改 hello-world.go 的文件内容。
  2. 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现交付链已被阻断,执行状态为取消

[10.14 Workshop] 容器 DevSecOps 实践3. 点击操作详情,查看容器镜像的漏洞情况。

[10.14 Workshop] 容器 DevSecOps 实践


步骤五:一键修复容器镜像,再次触发交付链流程

  1. 点击一键修复,选择不覆盖,将以 _fixed 为后缀形成新的容器镜像版本。点击立即修复

[10.14 Workshop] 容器 DevSecOps 实践

2. 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现容器镜像已修复完成,顺着交付链完成了后续流程。

[10.14 Workshop] 容器 DevSecOps 实践

3. 点击安全扫描节点,发现镜像漏洞已经全部修复完成了。

[10.14 Workshop] 容器 DevSecOps 实践

附录

上一篇:使用阿里云服务网格ASM自定义数据面访问日志


下一篇:将企业安全基线复制上云,实现云上IT运维的持续风控