Découvertes Docker
Les découvertes Docker permettent de lister un ensemble d’images Docker à partir d’un registre ou encore d’un déploiement existant. Les images Docker découvertes peuvent ensuite être ajoutées par une action groupée à Cyberwatch afin d’être scannées.
GitLab Container Registry
Prérequis
Les découvertes des images Docker depuis un registre Docker GitLab requièrent :
- Un jeton d’accès GitLab avec la permission read_api
GitLab intègre un registre Docker appelé GitLab Container Registry permettant de stocker les images Docker de projets GitLab. Il peut être scanné comme tout autre registre Docker, mais exige pour cela des identifiants super-administrateur. La découverte GitLab Container Registry utilise à la place l’API REST de GitLab pour découvrir les images Docker accessibles et fonctionne même avec un utilisateur standard.
Cette découverte requiert un jeton d’accès (access token) GitLab que vous pouvez créer depuis les paramètres utilisateur de votre compte sur GitLab. Le jeton d’accès doit avoir la permission read_api. Une fois créé, vous devrez l’ajouter à Cyberwatch comme Identifiants enregistrés.
Enfin, vous pourrez créer la découverte depuis le menu Découvertes en choisissant le type GitLab Container Registry puis en sélectionnant votre jeu d’identifiants.
Ajouter les images Docker découvertes
Depuis la liste des actifs découverts, vous pourrez voir et filtrer les images qui n’ont pas d’actifs associés. Pour les ajouter à Cyberwatch, vous pouvez sélectionnez celles que vous souhaitez scanner et cliquer sur Actions groupées > Scanner comme images Docker.
Pour scanner une image, il vous faudra un moteur d’exécution Docker. Si vous n’en avez pas déjà configuré un, veuillez vous référer à la documentation Ajouter une image Docker.
L’ajout d’images Docker nouvellement découvertes à Cyberwatch peut être automatisé en renseignant dans le formulaire d’édition de la découverte un moteur d’exécution.
Le registre est automatiquement choisi à partir du nom de l’image découverte. Par exemple, une image example.com/library/hello
utilisera automatiquement le registre Docker example.com
, à condition cependant qu’il ait été ajouté en tant qu’identifiant enregistré. Si le registre est nouveau, un identifiant enregistré sera automatiquement créé et pourra être manuellement édité par la suite si une authentification est requise. Il est parfois possible d’indiquer un registre de préférence, mais il ne sera utilisé que pour les images découvertes dont le registre figurant dans le nom correspond avec le point d’entrée du registre.