#Проверка соответствия политике с помощью roxctl

Alauda Container Security предоставляет CLI roxctl, который помогает проверять YAML-файлы развертывания и образы контейнеров на соответствие политике. В этом руководстве объясняется, как использовать roxctl для таких проверок и как интерпретировать результаты.

#Предварительные требования

• Установите переменную окружения ROX_ENDPOINT:

  export ROX_ENDPOINT=<host:port>

  Замените <host:port> на адрес вашего экземпляра Alauda Container Security Central.

#Форматы вывода

При запуске roxctl deployment check или roxctl image check вы можете указать формат вывода с помощью опции -o. Поддерживаемые форматы: json, table, csv и junit. Если формат не указан, по умолчанию используется table для проверок развертывания и образов, и json для сканирования образов.

#Пример

roxctl deployment check --file=<yaml_filename> -o csv

#Опции вывода

В следующей таблице приведены доступные опции вывода:

#Пример: Пользовательские заголовки и JSONPath

roxctl deployment check --file=<yaml_filename> \
  -o table --headers POLICY-NAME,SEVERITY \
  --row-jsonpath-expressions="{results..violatedPolicies..name,results..violatedPolicies..severity}"

#Проверка соответствия политике для развертываний

Для проверки нарушений политики во время сборки и развертывания в ваших YAML-файлах развертывания выполните:

roxctl deployment check --file=<yaml_filename> \
  --namespace=<cluster_namespace> \
  --cluster=<cluster_name_or_id> \
  --verbose

• <yaml_filename>: Путь к YAML-файлу(ам) развертывания. Можно указать несколько файлов, повторяя флаг --file.
• <cluster_namespace>: (Необязательно) Пространство имён для контекста. По умолчанию default.
• <cluster_name_or_id>: (Необязательно) Имя или ID кластера для контекста.
• --verbose: (Необязательно) Показать дополнительную информацию, например, разрешения RBAC и сетевые политики.

Примечание: Дополнительная информация о развертывании включается в JSON-вывод независимо от флага --verbose.

Чтобы принудительно обновить метаданные образа и результаты сканирования в Alauda Container Security, добавьте опцию --force.

Требование к разрешениям:
Для проверки конкретных результатов сканирования образа ваш токен должен иметь разрешения read и write для ресурса Image. Роль системы по умолчанию Continuous Integration включает эти разрешения.

Проверка развертывания валидирует:

• Параметры конфигурации в YAML-файле (например, лимиты ресурсов, настройки привилегий)
• Аспекты образа (например, компоненты, уязвимости)

#Проверка соответствия политике для образов

Для проверки нарушений политики во время сборки в образах выполните:

roxctl image check --image=<image_name>

Чтобы принудительно обновить метаданные образа и результаты сканирования в Alauda Container Security, добавьте опцию --force.

Требование к разрешениям:
Для проверки конкретных результатов сканирования образа ваш токен должен иметь разрешения read и write для ресурса Image. Роль системы по умолчанию Continuous Integration включает эти разрешения.

#Просмотр результатов сканирования образа

Чтобы просмотреть компоненты и уязвимости, обнаруженные в образе, в формате JSON, выполните:

roxctl image scan --image=<image_name>

Чтобы принудительно обновить метаданные образа и результаты сканирования в Alauda Container Security, добавьте опцию --force.

Требование к разрешениям:
Для проверки конкретных результатов сканирования образа ваш токен должен иметь разрешения read и write для ресурса Image. Роль системы по умолчанию Continuous Integration включает эти разрешения.