热门搜索:
lacework/codesec
lacework
Lacework CodeSecurity工具集(含IAC、SAST、SCA)的基础镜像仓库,用于支持相关安全工具的运行环境。
1 次收藏下载次数: 0状态:社区镜像维护者:lacework仓库类型:镜像最近更新:28 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Lacework CodeSecurity 基础镜像
1. 镜像概述和主要用途
Lacework CodeSecurity 基础镜像是 Lacework 提供的容器化基础环境,专为集成代码安全工具包而设计。该镜像作为基础设施即代码(IAC)、静态应用安全测试(SAST)和软件成分分析(SCA)等安全扫描工具的运行环境,提供了一致、可移植的代码安全分析平台,支持在 CI/CD 流水线中无缝集成安全扫描能力。
2. 核心功能和特性
- 多工具集成:内置支持 IAC、SAST 和 SCA 多种安全扫描工具
- 环境一致性:提供标准化的运行环境,确保扫描结果的一致性和可重复性
- 轻量级设计:优化的镜像大小,减少 CI/CD 流水线的构建和部署时间
- 灵活配置:支持多种配置方式,适应不同的使用场景和需求
- CI/CD 集成:专为与主流 CI/CD 工具集成而设计,简化安全扫描流程
- 自动化更新:定期更新安全规则和漏洞数据库,确保扫描能力与时俱进
3. 使用场景和适用范围
- CI/CD 流水线集成:在代码提交、构建或部署阶段自动执行安全扫描
- 开发环境集成:为开发人员提供本地安全扫描能力,实现"左移安全"
- 代码审查流程:作为代码审查的一部分,自动检查安全问题
- 合规性检查:帮助组织满足行业合规性要求,如PCI-DSS、HIPAA等
- 安全审计:定期对代码库进行安全审计,识别潜在安全风险
- 多语言支持:支持多种编程语言和框架的安全扫描
4. 详细使用方法和配置说明
4.1 前置要求
- Docker 19.03 或更高版本
- Lacework 账户和 API 密钥
- 网络连接(用于更新安全规则和漏洞数据库)
4.2 环境变量配置
| 环境变量 | 描述 | 必需 | 默认值 |
|---|---|---|---|
LW_ACCOUNT_NAME | Lacework 账户名称 | 是 | 无 |
LW_ACCESS_TOKEN | Lacework API 访问令牌 | 是 | 无 |
LW_API_KEY | Lacework API 密钥 | 是 | 无 |
SCAN_TYPE | 扫描类型,可选值:iac、sast、sca 或 all | 否 | all |
OUTPUT_FORMAT | 输出格式,可选值:json、xml、text | 否 | json |
SEVERITY_THRESHOLD | 严重级别阈值,可选值:critical、high、medium、low | 否 | medium |
FAIL_ON_VULNERABILITY | 发现漏洞时是否失败,可选值:true、false | 否 | true |
4.3 Docker Run 命令示例
基本用法
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -v $(pwd):/code \ lacework/code-security-base \ scan /code
指定扫描类型
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -e SCAN_TYPE=sast \ -v $(pwd):/code \ lacework/code-security-base \ scan /code
自定义输出格式和严重级别
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -e OUTPUT_FORMAT=text \ -e SEVERITY_THRESHOLD=high \ -v $(pwd):/code \ lacework/code-security-base \ scan /code
4.4 Docker Compose 配置示例
yamlversion: '3.8' services: code-security-scan: image: lacework/code-security-base environment: - LW_ACCOUNT_NAME=<your-account-name> - LW_ACCESS_TOKEN=<your-access-token> - LW_API_KEY=<your-api-key> - SCAN_TYPE=all - OUTPUT_FORMAT=json - SEVERITY_THRESHOLD=medium volumes: - ./:/code - scan-results:/results command: scan /code --output /results/scan-report.json volumes: scan-results:
4.5 与 CI/CD 流水线集成
GitHub Actions 示例
yamlname: Code Security Scan on: [push, pull_request] jobs: security-scan: runs-on: ubuntu-latest steps: - name: Checkout code uses: actions/checkout@v3 - name: Run Lacework CodeSecurity scan uses: docker://lacework/code-security-base env: LW_ACCOUNT_NAME: ${{ secrets.LW_ACCOUNT_NAME }} LW_ACCESS_TOKEN: ${{ secrets.LW_ACCESS_TOKEN }} LW_API_KEY: ${{ secrets.LW_API_KEY }} SCAN_TYPE: all with: args: scan . --output scan-results.json - name: Upload scan results uses: actions/upload-artifact@v3 with: name: scan-results path: scan-results.json
5. 高级配置
5.1 配置文件挂载
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -v $(pwd):/code \ -v $(pwd)/lacework-config:/etc/lacework \ lacework/code-security-base \ scan /code --config /etc/lacework/config.yaml
5.2 忽略特定漏洞或路径
创建 .laceworkignore 文件:
# 忽略特定CVE CVE-2023-1234 CVE-2023-5678 # 忽略特定路径 /node_modules/** /vendor/** /test/**
挂载忽略文件:
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -v $(pwd):/code \ -v $(pwd)/.laceworkignore:/etc/lacework/.laceworkignore \ lacework/code-security-base \ scan /code
6. 命令参考
| 命令 | 描述 | 参数 |
|---|---|---|
scan | 执行安全扫描 | <directory> - 要扫描的目录路径 |
update | 更新安全规则和漏洞数据库 | 无 |
version | 显示工具版本信息 | 无 |
help | 显示帮助信息 | [command] - 可选命令名称 |
7. 故障排除
- 认证失败:检查 Lacework 账户名称、访问令牌和 API 密钥是否正确
- 扫描超时:对于大型项目,可通过
-e SCAN_TIMEOUT=300(秒) 增加超时时间 - 资源不足:增加容器内存限制,使用
--memory=4g参数 - 扫描结果为空:检查扫描目录是否正确挂载,确保代码文件存在
- 工具冲突:避免在同一容器中运行多个安全扫描工具,可能导致资源竞争
8. 维护和更新
- 定期拉取最新镜像:
docker pull lacework/code-security-base - 使用特定版本标签固定版本:
lacework/code-security-base:1.2.3 - 定期执行
update命令更新安全规则:docker run --rm lacework/code-security-base update
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull lacework/codesec:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"