编者注：这个博客是由Twistlock的特邀作者撰写的：Jeremy Adams，主要解决方案架构师，合作伙伴和James Jones，主要解决方案架构师现代DevSecOps的主要部分是确保您在应用程序开发的整个生命周期中跟踪和缓解安全问题。因此，将Twistlock集成到您的CI管道中可以确保您可以防止易受攻击的容器映像在它们违反漏洞和法规遵从性时甚至进入您的注册表阈值。保持此漏洞和合规性信息位于开发团队跟踪其映像构建的前端和中心，有助于确保紧密的反馈回路，因此可以快速缓解安全问题。您的开发人员对他们的应用程序代码及其所需的依赖关系有着深刻的理解。现在，将安全性集成到该过程中可以让他们在继续规划未来时将安全性放在首位更新.CloudBees核心和K8sCloudBees核心™ 是CloudBees-Jenkins平台的继承者™ 云蜂詹金斯企业™. CloudBees核心的工作原理是有一个主节点和几个处理运行作业的worker节点。在Kubernetes集群中，这一切都可以通过指定pod模板按需调度Kubernetes pods来完成。这些pod模板使用JNLP帮助促进主节点和工作节点之间的连接，并且可以在同一个pod中启动其他容器，这些容器允许您执行管道执行其任务所需的其他功能。在这种情况下，这些任务将包括构建、标记、扫描和推送Docker图像。配置CloudBees核心和Twistlock扫描图像这是设置Jenkins集成的两个典型步骤。在我们之前的Jenkins插件博客文章中，我们可以看到一些这样的情况。对于Kubernetes上的CloudBees内核，大部分配置已经完成，因此管道脚本更简单，因为JNLP代理/从容器将自动启动。我们可以确保我们定义了一个吊舱模板的其余部分，我们需要，如Docker，以建立和扫描我们的容器，并可以继续好了。定义pod模板在CloudBees核心控制台中，我们导航到/cjoc/view/All/并单击"kubernetes shared cloud"。然后单击"Configure"on左导航并向下滚动到默认的kubernetespod模板：defaultjava。您会注意到"jnlp"的默认容器模板。滚动到底部，并在标记为"Raw yaml for the Pod"的框中粘贴下面示例的内容，使用您自己的docker group gid代替示例中的412。过程因平台而异，但通过SSH连接到底层主机后，可以从/etc确定GID/组。替换你的东道主的docker group gid为412下图：第二个pod模板的一部分将是一个包含docker（DIND）的docker容器，可以运行我们的docker构建命令来构建实际的集装箱。这也可以在jenkins文件中定义，但是为了便于设置，我们将在桂：另外对于此映像中指定的Docker容器，我还确保为Docker挂载一个主机路径卷，路径为/var/run/docker.sock公司可用于两个容器。这确保我们可以访问扭锁容器的Docker扫描。见现在一切都配置好了，让我们回到主页。我们可以点击创建新的工作，可以启动我们新的docker图像构建管道。我们将为新管道命名，选择管道作为作业类型，然后单击好的。管道脚本示例在下一页的底部，您应该看到一个可以粘贴到管道脚本中的区域。以下模板可用作您自己的脚本化管道的起点。这个模板演示了如何构建一个新的Docker映像，然后用Twistlock扫描它。因为我们在pod模板中包含了一个名为"build"的容器映像和docker命令，所以我们可以在下面的阶段（1）中使用它来构建图像。单击单击"确定"，然后单击"立即生成"按钮。新的pods现在应该由CloudBees核心在Kubernetes集群上调度，您的工作应该很快开始在控制台输出上显示输出。下面是一些输出示例（节略）：扫描结果也显示在Twistlock控制台中。在下面的gif中，Twistlock显示了最新版本，其中包含漏洞、风险因素和通过/失败状态。单击构建将允许您深入研究每个漏洞，包括修复指导。结论我们希望这个演示能帮助您设置CloudBees Core与Twistlock集成，为您的Docker图像提供深度扫描。Twistlock很荣幸能成为CloudBees的官方合作伙伴，以提高您发现和修复缺陷的能力SDLC.收件人进一步了解如何操作DevSecOps，查看此信息图。查看即将到来的CloudBees和Twistlock事件。其他资源关注DevSecOps成功所需的步骤了解DevSecOps实现的六个概念观看有关创建DevSecOps行动手册的网络研讨会