IK.AM


Dev > CaaS > Kubernetes > TAP

Tanzu Application Platformのsource-test-scan-to-url Supply ChainでSorurce Scannerを除外するメモ

Created on Fri Dec 16 2022 • Last Updated on Fri Dec 16 2022N/A Views

🏷️ Kubernetes | Cartographer | Grype | Tanzu | TAP | ytt

source-test-scan-to-url Supply Chainで脆弱性スキャンはImage Scannerだけで十分で、Source Scannerは不要な場合に、ytt overlayを使ってSoruce Scannerを除外する方法。


overlayの作成

cat <<EOF > ootb-supply-chain-testing-scanning-remove-source-scanner.yaml
#@ load("@ytt:overlay", "overlay")
#@overlay/match by=overlay.subset({"metadata":{"name":"source-test-scan-to-url"}, "kind": "ClusterSupplyChain"})
---
spec:
  resources:
  #@overlay/match by="name"
  #@overlay/remove
  - name: source-scanner
  #@overlay/match by="name"
  - name: image-provider
    sources:
    #@overlay/match by="name"
    - name: source
      resource: source-tester
EOF

overlayをSecretとして登録。以下は、Multi Cluster構成の場合はBuild Clusterに対して行う。

kubectl -n tap-install create secret generic ootb-supply-chain-testing-scanning-remove-source-scanner \
  -o yaml \
  --dry-run=client \
  --from-file=ootb-supply-chain-testing-scanning-remove-source-scanner.yaml \
  | kubectl apply -f-

作成したoverlayのSecret名をtap-values.yamlのpackage_overlaysへ次のように設定する。

package_overlays:
# ...
- name: ootb-supply-chain-testing-scanning
  secrets:
  - name: ootb-supply-chain-testing-scanning-remove-source-scanner 
  # ...

packageinstallを更新

tanzu package installed update -n tap-install tap -f tap-values.yaml

変更前
image

変更後
image

Found a mistake? Update the entry.