如何在多個(gè)項(xiàng)目Jenkinsfile內(nèi)的某處插入安全掃描能力

Veinmind Jenkins 插件推出了 v1.0.0 版本，可以順滑的集成進(jìn) CI 中，對容器鏡像的構(gòu)建步驟進(jìn)行掃描，而無需修改任何代碼。

在 CI 集成各種安全能力的過程中，最為痛苦的便是面對成千上百的倉庫和分支，需要手動(dòng)修改各種配置文件來加入安全掃描的步驟；通常情況下，在 Jenkins CI 過程內(nèi)想要引入容器安全檢測，需要手動(dòng)的去修改`Jenkinsfile`文件來插入掃描步驟。

如果您是幾百個(gè)項(xiàng)目的運(yùn)維人員，在 DevSecOps 的運(yùn)營過程中，如何在各個(gè)多個(gè)項(xiàng)目的多個(gè)分支的 Jenkinsfile 內(nèi)的某處插入安全掃描能力?

Veinmind Jenkins 插件可以幫你解決上述場景的問題。在 Jenkins 安裝 Veinmind 插件，開啟自動(dòng)掃描選項(xiàng)，即可無需插入任何步驟，自動(dòng)監(jiān)聽 docker build 行為，掃描 build 生成的鏡像，同時(shí)支持掃描報(bào)表以及任務(wù)阻斷等功能。

Veinmind Jenkins 的特性

支持自動(dòng)掃描模式，無需修改 Jenkinsfile 文件或 BuildStep，自動(dòng)識別 `docker build` 的動(dòng)作，觸發(fā)掃描任務(wù)。

支持手動(dòng)模式，可以手動(dòng)增加 Build Step/Pipeline Step 來手動(dòng)觸發(fā)掃描。

簡便安裝，一次安裝，永久使用。

使用簡單，無需記住復(fù)雜的參數(shù)，鼠標(biāo)配置即可。

支持阻斷功能。

提供數(shù)據(jù)統(tǒng)計(jì)和詳情頁面。

Veinmind Jenkins 的使用

1

下載并安裝 Veinmind Jenkins 插件

在 github 下載最新的 veinmind scanner.hpi 文件

安裝進(jìn) Jenkins 并重新啟動(dòng)。

2

在全局配置設(shè)置自動(dòng)掃描的策略

安裝好插件后，在 `Manage Jenkins -> Configure System` 找到`Veinmind Scanner Options`

勾選上自動(dòng)掃描的選項(xiàng)，然后選擇 Agent:

選用開源的 `veinmind-runner`，建議使用最新的版本號。

然后點(diǎn)擊保存即可。

3

開始一次構(gòu)建

任意找一個(gè) Step 存在構(gòu)建的 Project，點(diǎn)擊立即構(gòu)建觸發(fā)流程。

3

查看掃描結(jié)果

當(dāng)任務(wù)結(jié)束時(shí)，可以在側(cè)邊欄發(fā)現(xiàn) Veinmind Scanner 頁面，可以查看本次構(gòu)建內(nèi)掃描的結(jié)果和詳情。

Veinmind Jenkins 的更多用法

Veinmind Jenkins 插件除了自動(dòng)掃描支持之外，同樣也支持手動(dòng)指定掃描，來滿足多樣化的需求。

Pipeline Porject 手動(dòng)模式

在 `Jenkinsfile` 內(nèi)插入 Veinmind scanner 的掃描代碼，即可人工指定一次掃描:

`veinmindScannerblock:true,image:'YOOUR_IMAGE_REF',scanConfig:[$class:'RunnerConfig',agentVersion:'V1.5.0',scanArgs:'-v/var/run/docker.sock:/var/run/docker.sock',workSpace:'']`

如果不熟悉 Pipeline 語法或參數(shù)的意義，可以在 pipeline-syntax 流水線語法處，選擇 veinmindScanner，根據(jù)配置項(xiàng)生成對應(yīng)的 Pipeline 語句。

FreeStyle Project 手動(dòng)模式

在構(gòu)建的步驟內(nèi)，選擇增加構(gòu)建步驟，可以增添一次 veinmind scanner 掃描

審核編輯：劉清