Синхронизация репозиториев Docker-образов

Компоненты

Внешние

Название	Описание	Доп. информация
regctl	Утилита для доступа к реестрам Docker	-
regsync	Утилита для зеркалирования Docker-репозиториев	Конфигурационный файл
Cosign	Подписание артефактов	-
Grype	Сканер уязвимостей для образов контейнеров и файловых систем	Конфигурационный файл
KESL	Средство антивирусной защиты типов Б, В, Г

Внутренние

Название	Описание
check.sh	Проверка наличия образов для синхронизации
kesl.sh	Антивирусное сканирование
main.sh	Синхронизация образов (главный)
report_manual.sh	Формирование отчета
sign.sh	Проверка подписей
common/init.sh	Инициализирующие функции (вспомогательный)
common/logger.sh	Логирование (вспомогательный)
common/mailer.sh	Работа с электронной почтой (вспомогательный)
epss/epss.sh	Вычисление EPSS
grype/grype.sh	Сканирование на наличие уязвимостей

Каталоги

Название	Описание	Доп. информация
config	Конфигурационные файлы	-
docker	Запуск Docker-контейнера с KESL (kesl_docker_library)	Необходимо заполнить .env, добавить сертификаты, конфиг и ключ
key	Каталог с открытыми ключами для проверки подписей	-
log*	Файлы с логами по каждому образу	-
scripts	Скрипты	-
systemd	Systemd Units	-

Systemd Units

Название	Описание	Доп. информация
docker_library.service	Сервис, запускающий синхронизацию	-
docker_library.timer	Таймер для запуска docker_library.service	Ежедневно в 01:00

Использование:

$ ./main.sh
Usage: ./main.sh [OPTIONS]
Options:
  -c, --configDir  STRING  Directory name with configuration file
  -h, --help               Show this message and exit

epss.sh | grype.sh

Логика "черных списков"

1. Рядом со скриптом epss.sh | grype.sh создается файл blacklist.txt | stoplist.txt

2. Одна строка - одна уязвимость:

blacklist.txt | stoplist.txt

CVE-2021-44228
CVE-2021-45046

ToDo

• Работа с OCI Registry (skopeo?)
• .lock