Q69 — AWS DVA-C02 第3章
第 69/100 题 | ← 返回第3章
交司商要在镜怪进入声行状态之前强化其确续镜怪。该交司的应用程序使用Amazon Elastic Container Registry (Amazon ECR )作为映怪注册表。用于计算的Amazon Elastic Kubernetes Service (Amazon EKS )以及用于英排持器集成和持器公它(CI/CD)工作流程的AWS CodePipeline 戴道。将新映怪色署到EKS集群中的开发命名空间后,察态应用程序安哥测试发生在戴道的最后阶喜。开发人乡商要在散色署之前放置伊个分析阶喜,以便在C/CD戴道中更早地分析确续映怪。据种解相远案能够以最结的声营效率满梦这些要求?
- A. 构建容器镜像并在本地运行docker scan 命令。在将更改推送到源代码存储库之前缓解任何发现的问题。编写一个预提交挂钩,强制在提交之前使用此工作流程。
- B. 创建一个新的CodePipeline 阶段,该阶段在构建容器映像后发生。配置ECR基本图像扫描以在图像推送时进行扫描。使用AWS Lambda 函数作为操作提供程序。配置Lambda 函数以检查扫描结果并在有发现时使管道失败。 ✓
- C. 创建一个新的CodePipeline 阶段,该阶段在从其存储库检索源代码后发生。对最新版本的源代码运行安全扫描程序。如果有发现,则使管道失败。
- D. 将操作添加到管道的部署阶段,以便该操作在部署到EKS集群之前发生。配置ECR基本图像扫描以在图像推送时进行扫描。使用AWS Lambda 函数作为操作提供程序。配置Lambda 函数以检查扫描结果并在有发现时使管道失败。
正确答案: B. 创建一个新的CodePipeline 阶段,该阶段在构建容器映像后发生。配置ECR基本图像扫描以在图像推送时进行扫描。使用AWS Lambda 函数作为操作提供程序。配置Lambda 函数以检查扫描结果并在有发现时使管道失败。
解析
集成到CI/CD流程:选项 B 提议在构建容器映像后的流水线阶段进行安全扫描。这是一个理想的时间点,因为在将映像推送到ECR之前进行扫描可以确保扫描结果在映像进入EKS集群之前就已知。 使用ECR基本图像扫描:AWS ECR 提供了基本的图像扫描功能,可以在图像推送时自动运行安全扫描。这保证了映像在存储库中的每个版本推送时都会被扫描。 Lambda函数的操作提供程序:AWS Lambda 可以作为操作提供程序,用于检查扫描结果并在有发现时触发管道失败。Lambda函数可以集成到CodePipeline的工作流程中,实现自动化的安全测试和管道状态管理。 对比其他选项的原因: 选项 A:虽然在本地构建映像并运行docker scan命令可以进行扫描,但这种方法依赖于开发者的手动步骤,并不适合自动化CI/CD流水线的要求。 选项 C:在源代码检索阶段运行安全扫描程序可能会太早,因为这时候还没有生成或推送映像。这不符合要求在映像进入EKS集群之前进行安全扫描的需求。 选项 D:将操作添加到部署阶段进行扫描虽然在部署之前进行了安全检查,但这样做可能会使得发现问题后的处理更为复杂,而且不符合在推送到ECR之后立即进行安全扫描的最佳实践。 因此,选项 B 最适合将安全扫描集成到CI/CD流程中,确保映像在部署到EKS集群之前经过必要的安全测试和验证。