Découvertes Docker
Les découvertes Docker permettent de lister un ensemble d’images Docker à partir d’un registre ou encore d’un déploiement existant. Les images Docker découvertes peuvent ensuite être ajoutées par une action groupée à Cyberwatch afin d’être scannées.
JFrog Artifactory
Prérequis
Les découvertes JFrog Artifactory requièrent :
- Un compte de service JFrog (utilisateur dédié, non administrateur)
- Une permission de lecture (
Read) accordée à ce compte sur les dépôts Docker à découvrir- Un jeton d’accès généré pour ce compte
JFrog Artifactory expose ses dépôts Docker sous forme de registres. La découverte JFrog Artifactory interroge l’API de JFrog pour lister les images Docker accessibles, qui pourront ensuite être scannées par Cyberwatch. Un accès en lecture aux dépôts Docker concernés est suffisant : il est donc recommandé de dédier à Cyberwatch un compte de service aux droits minimaux.
Créer un compte de service et un jeton dans JFrog
Vous pouvez créer ce compte de service comme suit :
- Créer l’utilisateur : depuis
Administration > User Management > Users, créer un utilisateur de service non administrateur (par exemplecyberwatch). - Accorder les droits de lecture : depuis
Administration > User Management > Permissions, créer une permission donnant uniquement l’actionReadsur les dépôts Docker à découvrir, et y associer ce compte (ou un groupe le contenant). - Générer le jeton d’accès : depuis
Administration > User Management > Access Tokens, créer unScoped Tokenpour ce compte en réglantToken scopesurUser, afin que le jeton hérite uniquement des permissions du compte. Conserver le nom d’utilisateur et le jeton généré : ils seront nécessaires à l’étape suivante.
Enregistrer l’identifiant dans Cyberwatch
Depuis le menu Identifiants enregistrés, vous pouvez ajouter un identifiant de type JFrog Artifactory en renseignant l’URL de votre plateforme JFrog, le nom d’utilisateur du compte de service et le jeton d’accès généré précédemment.
Créer la découverte
Vous pourrez ensuite créer la découverte depuis le menu Découvertes, en cliquant sur le bouton Ajouter puis sur JFrog Artifactory dans la partie Images Docker, et en choisissant votre jeu d’identifiants. Si l’accès est correctement configuré, la découverte listera l’ensemble des images Docker trouvées.
Ajouter les images Docker découvertes
Depuis la liste des actifs découverts, vous pourrez voir et filtrer les images qui n’ont pas d’actifs associés. Pour les ajouter à Cyberwatch, vous pouvez sélectionner celles que vous souhaitez scanner et cliquer sur Actions groupées > Scanner comme images Docker.
L’ajout d’images Docker nouvellement découvertes à Cyberwatch peut être automatisé en activant l’enregistrement automatique depuis le formulaire d’édition de la découverte.
Le registre est automatiquement choisi à partir du nom de l’image découverte. Par exemple, une image example.com/library/hello utilisera automatiquement le registre Docker example.com, à condition cependant qu’il ait été ajouté en tant qu’identifiant enregistré. Si le registre est nouveau, un identifiant enregistré sera automatiquement créé et pourra être manuellement édité par la suite si une authentification est requise. Il est parfois possible d’indiquer un registre de préférence, mais il ne sera utilisé que pour les images découvertes dont le registre figurant dans le nom correspond avec le point d’entrée du registre.