Lacework CodeSecurity 基础镜像

1. 镜像概述和主要用途

Lacework CodeSecurity 基础镜像是 Lacework 提供的容器化基础环境，专为集成代码安全工具包而设计。该镜像作为基础设施即代码(IAC)、静态应用安全测试(SAST)和软件成分分析(SCA)等安全扫描工具的运行环境，提供了一致、可移植的代码安全分析平台，支持在 CI/CD 流水线中无缝集成安全扫描能力。

2. 核心功能和特性

多工具集成：内置支持 IAC、SAST 和 SCA 多种安全扫描工具
环境一致性：提供标准化的运行环境，确保扫描结果的一致性和可重复性
轻量级设计：优化的镜像大小，减少 CI/CD 流水线的构建和部署时间
灵活配置：支持多种配置方式，适应不同的使用场景和需求
CI/CD 集成：专为与主流 CI/CD 工具集成而设计，简化安全扫描流程
自动化更新：定期更新安全规则和漏洞数据库，确保扫描能力与时俱进

3. 使用场景和适用范围

CI/CD 流水线集成：在代码提交、构建或部署阶段自动执行安全扫描
开发环境集成：为开发人员提供本地安全扫描能力，实现"左移安全"
代码审查流程：作为代码审查的一部分，自动检查安全问题
合规性检查：帮助组织满足行业合规性要求，如PCI-DSS、HIPAA等
安全审计：定期对代码库进行安全审计，识别潜在安全风险
多语言支持：支持多种编程语言和框架的安全扫描

4. 详细使用方法和配置说明

4.1 前置要求

Docker 19.03 或更高版本
Lacework 账户和 API 密钥
网络连接（用于更新安全规则和漏洞数据库）

4.2 环境变量配置

环境变量	描述	必需	默认值
`LW_ACCOUNT_NAME`	Lacework 账户名称	是	无
`LW_ACCESS_TOKEN`	Lacework API 访问令牌	是	无
`LW_API_KEY`	Lacework API 密钥	是	无
`SCAN_TYPE`	扫描类型，可选值：`iac`、`sast`、`sca` 或 `all`	否	`all`
`OUTPUT_FORMAT`	输出格式，可选值：`json`、`xml`、`text`	否	`json`
`SEVERITY_THRESHOLD`	严重级别阈值，可选值：`critical`、`high`、`medium`、`low`	否	`medium`
`FAIL_ON_VULNERABILITY`	发现漏洞时是否失败，可选值：`true`、`false`	否	`true`

4.3 Docker Run 命令示例

基本用法

bash
docker run --rm \
  -e LW_ACCOUNT_NAME=<your-account-name> \
  -e LW_ACCESS_TOKEN=<your-access-token> \
  -e LW_API_KEY=<your-api-key> \
  -v $(pwd):/code \
  lacework/code-security-base \
  scan /code

指定扫描类型

bash
docker run --rm \
  -e LW_ACCOUNT_NAME=<your-account-name> \
  -e LW_ACCESS_TOKEN=<your-access-token> \
  -e LW_API_KEY=<your-api-key> \
  -e SCAN_TYPE=sast \
  -v $(pwd):/code \
  lacework/code-security-base \
  scan /code

自定义输出格式和严重级别

bash
docker run --rm \
  -e LW_ACCOUNT_NAME=<your-account-name> \
  -e LW_ACCESS_TOKEN=<your-access-token> \
  -e LW_API_KEY=<your-api-key> \
  -e OUTPUT_FORMAT=text \
  -e SEVERITY_THRESHOLD=high \
  -v $(pwd):/code \
  lacework/code-security-base \
  scan /code

4.4 Docker Compose 配置示例

yaml
version: '3.8'

services:
  code-security-scan:
    image: lacework/code-security-base
    environment:
      - LW_ACCOUNT_NAME=<your-account-name>
      - LW_ACCESS_TOKEN=<your-access-token>
      - LW_API_KEY=<your-api-key>
      - SCAN_TYPE=all
      - OUTPUT_FORMAT=json
      - SEVERITY_THRESHOLD=medium
    volumes:
      - ./:/code
      - scan-results:/results
    command: scan /code --output /results/scan-report.json

volumes:
  scan-results:

4.5 与 CI/CD 流水线集成

GitHub Actions 示例

yaml
name: Code Security Scan
on: [push, pull_request]

jobs:
  security-scan:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v3
      
      - name: Run Lacework CodeSecurity scan
        uses: docker://lacework/code-security-base
        env:
          LW_ACCOUNT_NAME: ${{ secrets.LW_ACCOUNT_NAME }}
          LW_ACCESS_TOKEN: ${{ secrets.LW_ACCESS_TOKEN }}
          LW_API_KEY: ${{ secrets.LW_API_KEY }}
          SCAN_TYPE: all
        with:
          args: scan . --output scan-results.json
      
      - name: Upload scan results
        uses: actions/upload-artifact@v3
        with:
          name: scan-results
          path: scan-results.json

5. 高级配置

5.1 配置文件挂载

bash
docker run --rm \
  -e LW_ACCOUNT_NAME=<your-account-name> \
  -e LW_ACCESS_TOKEN=<your-access-token> \
  -e LW_API_KEY=<your-api-key> \
  -v $(pwd):/code \
  -v $(pwd)/lacework-config:/etc/lacework \
  lacework/code-security-base \
  scan /code --config /etc/lacework/config.yaml

5.2 忽略特定漏洞或路径

创建 .laceworkignore 文件：

# 忽略特定CVE
CVE-2023-1234
CVE-2023-5678

# 忽略特定路径
/node_modules/**
/vendor/**
/test/**

挂载忽略文件：

bash
docker run --rm \
  -e LW_ACCOUNT_NAME=<your-account-name> \
  -e LW_ACCESS_TOKEN=<your-access-token> \
  -e LW_API_KEY=<your-api-key> \
  -v $(pwd):/code \
  -v $(pwd)/.laceworkignore:/etc/lacework/.laceworkignore \
  lacework/code-security-base \
  scan /code

6. 命令参考

命令	描述	参数
`scan`	执行安全扫描	`<directory>` - 要扫描的目录路径
`update`	更新安全规则和漏洞数据库	无
`version`	显示工具版本信息	无
`help`	显示帮助信息	`[command]` - 可选命令名称