Hey Habr!
I ndáiríre an lae inniu, mar gheall ar ról méadaithe coimeádán i bpróisis forbartha, níl an cheist maidir le slándáil na gcéimeanna agus na n-eintiteas éagsúla a bhaineann le coimeádáin a chinntiú sa áit dheireanach. Is tasc an-dian é seiceálacha a dhéanamh de láimh, agus mar sin bheadh sé go deas na céimeanna tosaigh ar a laghad a ghlacadh chun an próiseas seo a uathoibriú.
San Airteagal seo, roinnfidh mé scripteanna réamhdhéanta chun roinnt fóntais slándála Docker a chur i bhfeidhm agus treoracha maidir le conas seastán taispeána beag a bhunú chun an próiseas seo a thástáil. Is féidir leat na hábhair a úsáid chun triail a bhaint as conas an próiseas a eagrú chun slándáil íomhánna agus treoracha Dockerfile a thástáil. Tá sé soiléir go bhfuil an bonneagar forbartha agus cur i bhfeidhm difriúil do gach duine, mar sin thíos tabharfaidh mé roinnt roghanna féideartha.
Fóntais Seiceáil Slándála
Tá líon mór feidhmchlár agus scripteanna cúntóir éagsúla ann a dhéanann seiceálacha ar ghnéithe éagsúla de bhonneagar Docker. Tá cur síos déanta ar chuid acu in alt roimhe seo (), agus san Airteagal seo ba mhaith liom díriú ar thrí cinn acu, a chlúdaíonn an chuid is mó de na ceanglais slándála maidir le híomhánna Docker a thógtar le linn an phróisis forbartha. Ina theannta sin, taispeánfaidh mé freisin sampla de conas is féidir na trí fhóntas seo a chomhcheangal i bpíblíne amháin chun seiceálacha slándála a dhéanamh.
Hadolint
Fóntas consól simplí go leor a chabhraíonn le cruinneas agus sábháilteacht threoracha Dockerfile a mheas ar dtús (mar shampla, gan ach clárlanna íomhá ceadaithe a úsáid nó sudo a úsáid).
Duga
Fóntas consól a oibríonn ar íomhá (nó ar thailler íomhá shábháilte) a sheiceálann cruinneas agus slándáil íomhá ar leith mar sin trí anailís a dhéanamh ar a sraitheanna agus a cumraíocht - cad iad na húsáideoirí a chruthaítear, cad iad na treoracha atá in úsáid, cad iad na méideanna atá suite , pasfhocal bán a bheith i láthair, etc. e. Cé nach bhfuil líon na seiceálacha an-mhór agus go bhfuil sé bunaithe ar roinnt seiceálacha agus moltaí féin le haghaidh docker.
Fánach
Tá an fóntais seo dírithe ar dhá chineál leochaileachta a aimsiú - tacaítear le fadhbanna tógála OS (Alpach, RedHat (EL), CentOS, Debian GNU, Ubuntu) agus fadhbanna spleáchais (Gemfile.lock, Pipfile.lock, composer.lock, package-lock. .json , snáth.glas, lasta.glas). Is féidir le Trivy an íomhá sa stór agus san íomhá áitiúil araon a scanadh, agus scanadh freisin bunaithe ar an gcomhad .tar aistrithe leis an íomhá Docker.
Roghanna Forfheidhmithe Fóntas
D'fhonn triail a bhaint as na hiarratais a thuairiscítear i gcoinníollacha scoite, cuirfidh mé treoracha ar fáil maidir leis na fóntais go léir a shuiteáil mar chuid de phróiseas simplithe.
Is é an príomh-smaoineamh ná a léiriú conas is féidir leat seiceáil uathoibríoch ábhar a chur i bhfeidhm le haghaidh íomhánna Dockerfiles agus Docker a chruthaítear le linn na forbartha.
Tá na céimeanna seo a leanas sa fhíorú féin:
- Seiceáil cruinneas agus sábháilteacht treoracha Dockerfile le fóntais línéir Hadolint
- Seiceáil an cruinneas agus slándáil na n-íomhánna deiridh agus idirmheánach - fóntais Duga
- Ag seiceáil le haghaidh Leochaileachtaí a Aithnítear go Coitianta (CVE) sa bhuníomhá agus roinnt spleáchais - ag an bhfóntas Fánach
Níos déanaí san alt tabharfaidh mé trí rogha chun na céimeanna seo a chur i bhfeidhm:
Is é an chéad cheann ná an píblíne CI / CD a chumrú ag baint úsáide as an sampla de GitLab (le cur síos ar an bpróiseas a ardú mar shampla tástála).
Tá an dara ceann ag baint úsáide as script bhlaosc.
Baineann an tríú le tógáil íomhá Docker chun íomhánna Docker a scanadh.
Is féidir leat an rogha is fearr a oireann duit a roghnú, é a aistriú chuig do bhonneagar agus é a oiriúnú do do chuid riachtanas.
Tá gach comhad riachtanach agus treoracha breise sa stór freisin:
Comhtháthú GitLab CI/CD
Sa chéad rogha, féachfaimid ar conas is féidir seiceálacha slándála a chur i bhfeidhm trí úsáid a bhaint as córas stórtha GitLab mar shampla. Anseo déanfaimid dul trí na céimeanna agus féachfaimid conas timpeallacht tástála a bhunú le GitLab ón tús, próiseas scanadh a chruthú agus fóntais a reáchtáil chun Dockerfile tástála agus íomhá randamach a thástáil - an t-iarratas JuiceShop.
Suiteáil GitLab
1. Suiteáil Docker:
sudo apt-get update && sudo apt-get install docker.io2. Cuir an t-úsáideoir reatha leis an ngrúpa docker ionas gur féidir leat oibriú le docker gan úsáid a bhaint as sudo:
sudo addgroup <username> docker3. Aimsigh do IP:
ip addr4. Suiteáil agus rith GitLab sa choimeádán, ag cur do chuid féin in ionad an seoladh IP san óstainm:
docker run --detach
--hostname 192.168.1.112
--publish 443:443 --publish 80:80
--name gitlab
--restart always
--volume /srv/gitlab/config:/etc/gitlab
--volume /srv/gitlab/logs:/var/log/gitlab
--volume /srv/gitlab/data:/var/opt/gitlab
gitlab/gitlab-ce:latestTáimid ag fanacht le GitLab na nósanna imeachta suiteála riachtanacha go léir a chomhlánú (is féidir leat an próiseas a leanúint trí aschur an chomhaid logála: logs docker -f gitlab).
5. Oscail do IP áitiúil sa bhrabhsálaí agus féach ar leathanach a thairiscint chun an focal faire don úsáideoir fréimhe a athrú:
Socraigh pasfhocal nua agus téigh go dtí GitLab.
6. Cruthaigh tionscadal nua, mar shampla cicd-test agus cuir tús leis le comhad tosaigh README.md:
7. Anois ní mór dúinn an Runner GitLab a shuiteáil: gníomhaire a reáchtálfaidh na hoibríochtaí riachtanacha go léir ar iarratas.
Íoslódáil an leagan is déanaí (sa chás seo, faoi Linux 64-giotán):
sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd648. Déan é inrite:
sudo chmod +x /usr/local/bin/gitlab-runner9. Cuir úsáideoir OS don Runner agus cuir tús leis an tseirbhís:
sudo useradd --comment 'GitLab Runner' --create-home gitlab-runner --shell /bin/bash
sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
sudo gitlab-runner startBa cheart breathnú ar rud éigin mar seo:
local@osboxes:~$ sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
Runtime platform arch=amd64 os=linux pid=8438 revision=0e5417a3 version=12.0.1
local@osboxes:~$ sudo gitlab-runner start
Runtime platform arch=amd64 os=linux pid=8518 revision=0e5417a3 version=12.0.1
10. Anois déanaimid an Runner a chlárú ionas gur féidir leis idirghníomhú lenár n-ásc GitLab.
Chun seo a dhéanamh, oscail an leathanach Socruithe-CI/CD (http://OUR_ IP_ADDRESS/root/cicd-test/-/settings/ci_cd) agus ar an táb Runners aimsigh an URL agus an comhartha clárúcháin:
11. Cláraigh an Rith tríd an URL agus an comhartha clárúcháin a chur in ionad:
sudo gitlab-runner register
--non-interactive
--url "http://<URL>/"
--registration-token "<Registration Token>"
--executor "docker"
--docker-privileged
--docker-image alpine:latest
--description "docker-runner"
--tag-list "docker,privileged"
--run-untagged="true"
--locked="false"
--access-level="not_protected"Mar thoradh air sin, faigheann muid GitLab oibre réidh, ina gcaithfimid treoracha a chur leis chun ár bhfóntais a thosú. Sa taispeántas seo, níl céimeanna tógála agus coimeádaithe feidhmchláir againn, ach i bhfíor-thimpeallacht rachaidh siad roimh na céimeanna scanadh agus ginfidh siad íomhánna agus Dockerfile le haghaidh anailíse.
cumraíocht píblíne
1. Cuir comhaid leis an stór mydockerfile.df (is Dockerfile tástála é seo a thástálfaimid) agus an comhad cumraíochta próiseas GitLab CI/CD .gitlab-cicd.yml, a liostaíonn treoracha le haghaidh scanóirí (tabhair faoi deara an ponc in ainm an chomhaid).
Tá treoracha sa chomhad cumraíochta .yaml chun trí fhóntas a rith (Hadolint, Dockle, agus Trivy) a pharsálfaidh an Dockerfile roghnaithe agus an íomhá atá sonraithe san athróg DOCKERFILE. Is féidir na comhaid riachtanacha go léir a thógáil ón stór:
Sliocht as mydockerfile.df (is comhad teibí é seo le sraith treoracha treallacha díreach chun a léiriú conas a oibríonn an áirgiúlacht). Nasc díreach chuig an gcomhad:
Ábhar mydockerfile.df
FROM amd64/node:10.16.0-alpine@sha256:f59303fb3248e5d992586c76cc83e1d3700f641cbcd7c0067bc7ad5bb2e5b489 AS tsbuild
COPY package.json .
COPY yarn.lock .
RUN yarn install
COPY lib lib
COPY tsconfig.json tsconfig.json
COPY tsconfig.app.json tsconfig.app.json
RUN yarn build
FROM amd64/ubuntu:18.04@sha256:eb70667a801686f914408558660da753cde27192cd036148e58258819b927395
LABEL maintainer="Rhys Arkins <[email protected]>"
LABEL name="renovate"
...
COPY php.ini /usr/local/etc/php/php.ini
RUN cp -a /tmp/piik/* /var/www/html/
RUN rm -rf /tmp/piwik
RUN chown -R www-data /var/www/html
ADD piwik-cli-setup /piwik-cli-setup
ADD reset.php /var/www/html/
## ENTRYPOINT ##
ADD entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
USER rootBreathnaíonn an chumraíocht YAML mar seo (is féidir an comhad féin a thógáil ón nasc díreach anseo: ):
Ábhar .gitlab-ci.yml
variables:
DOCKER_HOST: "tcp://docker:2375/"
DOCKERFILE: "mydockerfile.df" # name of the Dockerfile to analyse
DOCKERIMAGE: "bkimminich/juice-shop" # name of the Docker image to analyse
# DOCKERIMAGE: "knqyf263/cve-2018-11235" # test Docker image with several CRITICAL CVE
SHOWSTOPPER_PRIORITY: "CRITICAL" # what level of criticality will fail Trivy job
TRIVYCACHE: "$CI_PROJECT_DIR/.cache" # where to cache Trivy database of vulnerabilities for faster reuse
ARTIFACT_FOLDER: "$CI_PROJECT_DIR"
services:
- docker:dind # to be able to build docker images inside the Runner
stages:
- scan
- report
- publish
HadoLint:
# Basic lint analysis of Dockerfile instructions
stage: scan
image: docker:git
after_script:
- cat $ARTIFACT_FOLDER/hadolint_results.json
script:
- export VERSION=$(wget -q -O - https://api.github.com/repos/hadolint/hadolint/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
- wget https://github.com/hadolint/hadolint/releases/download/v${VERSION}/hadolint-Linux-x86_64 && chmod +x hadolint-Linux-x86_64
# NB: hadolint will always exit with 0 exit code
- ./hadolint-Linux-x86_64 -f json $DOCKERFILE > $ARTIFACT_FOLDER/hadolint_results.json || exit 0
artifacts:
when: always # return artifacts even after job failure
paths:
- $ARTIFACT_FOLDER/hadolint_results.json
Dockle:
# Analysing best practices about docker image (users permissions, instructions followed when image was built, etc.)
stage: scan
image: docker:git
after_script:
- cat $ARTIFACT_FOLDER/dockle_results.json
script:
- export VERSION=$(wget -q -O - https://api.github.com/repos/goodwithtech/dockle/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
- wget https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.tar.gz && tar zxf dockle_${VERSION}_Linux-64bit.tar.gz
- ./dockle --exit-code 1 -f json --output $ARTIFACT_FOLDER/dockle_results.json $DOCKERIMAGE
artifacts:
when: always # return artifacts even after job failure
paths:
- $ARTIFACT_FOLDER/dockle_results.json
Trivy:
# Analysing docker image and package dependencies against several CVE bases
stage: scan
image: docker:git
script:
# getting the latest Trivy
- apk add rpm
- export VERSION=$(wget -q -O - https://api.github.com/repos/knqyf263/trivy/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
- wget https://github.com/knqyf263/trivy/releases/download/v${VERSION}/trivy_${VERSION}_Linux-64bit.tar.gz && tar zxf trivy_${VERSION}_Linux-64bit.tar.gz
# displaying all vulnerabilities w/o failing the build
- ./trivy -d --cache-dir $TRIVYCACHE -f json -o $ARTIFACT_FOLDER/trivy_results.json --exit-code 0 $DOCKERIMAGE
# write vulnerabilities info to stdout in human readable format (reading pure json is not fun, eh?). You can remove this if you don't need this.
- ./trivy -d --cache-dir $TRIVYCACHE --exit-code 0 $DOCKERIMAGE
# failing the build if the SHOWSTOPPER priority is found
- ./trivy -d --cache-dir $TRIVYCACHE --exit-code 1 --severity $SHOWSTOPPER_PRIORITY --quiet $DOCKERIMAGE
artifacts:
when: always # return artifacts even after job failure
paths:
- $ARTIFACT_FOLDER/trivy_results.json
cache:
paths:
- .cache
Report:
# combining tools outputs into one HTML
stage: report
when: always
image: python:3.5
script:
- mkdir json
- cp $ARTIFACT_FOLDER/*.json ./json/
- pip install json2html
- wget https://raw.githubusercontent.com/shad0wrunner/docker_cicd/master/convert_json_results.py
- python ./convert_json_results.py
artifacts:
paths:
- results.htmlMás gá, is féidir leat íomhánna sábháilte a scanadh freisin mar chartlann .tar (beidh ort na paraiméadair ionchuir do na fóntais sa chomhad YAML a athrú, áfach)
NB: Éilíonn Trivy suiteáilte RPM и git. Seachas sin, ginfidh sé earráidí nuair a scanadh íomhánna RedHat-bhunaithe agus ag fáil nuashonruithe ar an mbunachar sonraí leochaileachta.
2. Tar éis na comhaid a chur leis an stór, de réir na dtreoracha inár gcomhad cumraíochta, cuirfidh GitLab tús leis an bpróiseas tógála agus scanadh go huathoibríoch. Ar an táb CI / CD → Píblínte, is féidir leat dul chun cinn na dtreoracha a fheiceáil.
Mar thoradh air sin, tá ceithre thasc againn. Tá baint dhíreach ag triúr acu le scanadh, agus bailíonn an ceann deireanach (Tuarascáil) tuairisc shimplí ó chomhaid scaipthe le torthaí scanadh.
De réir réamhshocraithe, stopann Trivy a fhorghníomhú má fhaightear leochaileachtaí CRITICIÚIL san íomhá nó sna spleáchais. Ag an am céanna, cuireann Hadolint Cód Rath ar ais i gcónaí, ós rud é go mbíonn ráitis i gcónaí ag baint lena fhorghníomhú, rud a fhágann stad tógála.
Ag brath ar do riachtanais shonracha, is féidir leat cód scoir a chumrú ionas go gcuirfidh na fóntais seo stop leis an bpróiseas tógála freisin nuair a aimsítear fadhbanna a bhfuil criticiúlacht áirithe acu. Inár gcás, ní stopfaidh an tógáil ach amháin má bhraitheann Trivy leochaileacht le déine atá sonraithe againn san athróg SHOWSTOPPER i .gitlab-ci.yml.
Is féidir toradh oibriú gach áirgiúlachta a fheiceáil i loga gach tasc scanadh, go díreach i gcomhaid json sa rannóg Déantán, nó i dtuarascáil HTML simplí (tuilleadh air sin thíos):
3. Chun tuairiscí fóntais a chur i láthair i bhfoirm atá beagán níos inléite ag daoine, úsáidtear script Python beag chun trí chomhad json a thiontú go comhad HTML amháin le tábla lochtanna.
Seoltar an script seo trí thasc Tuarascála ar leith, agus is comhad HTML le tuairisc é an déantán deiridh. Tá an fhoinse scripte sa stór freisin agus is féidir é a oiriúnú do do chuid riachtanas, dathanna, etc.
Script bhlaosc
Tá an dara rogha oiriúnach do chásanna nuair is gá duit íomhánna Docker a sheiceáil nach bhfuil laistigh den chóras CI / CD, nó ní mór duit na treoracha go léir a bheith agat i bhfoirm is féidir a fhorghníomhú go díreach ar an óstach. Tá an rogha seo clúdaithe ag script bhlaosc réidh is féidir a reáchtáil ar mheaisín glan fíorúil (nó fiú fíor). Leanann an script na treoracha céanna leis an gitlab-runner thuas.
Chun go n-oibreoidh an script go rathúil, ní mór Docker a shuiteáil ar an gcóras agus ní mór don úsáideoir reatha a bheith sa ghrúpa docker.
Is féidir an script féin a fháil anseo:
Ag tús an chomhaid, sonraíonn athróga cén íomhá ba cheart a scanadh agus cén déine lochtanna a chuirfidh ar an bhfóntas Trivy imeacht leis an gcód earráide sonraithe.
Le linn fhorghníomhú an script, déanfar na fóntais go léir a íoslódáil chuig an eolaire docker_uirlisí, torthaí a gcuid oibre - san eolaire docker_tools/json, agus beidh an HTML leis an tuairisc sa chomhad torthaí.html.
Aschur script sampla
~/docker_cicd$ ./docker_sec_check.sh
[+] Setting environment variables
[+] Installing required packages
[+] Preparing necessary directories
[+] Fetching sample Dockerfile
2020-10-20 10:40:00 (45.3 MB/s) - ‘Dockerfile’ saved [8071/8071]
[+] Pulling image to scan
latest: Pulling from bkimminich/juice-shop
[+] Running Hadolint
...
Dockerfile:205 DL3015 Avoid additional packages by specifying `--no-install-recommends`
Dockerfile:248 DL3002 Last USER should not be root
...
[+] Running Dockle
...
WARN - DKL-DI-0006: Avoid latest tag
* Avoid 'latest' tag
INFO - CIS-DI-0005: Enable Content trust for Docker
* export DOCKER_CONTENT_TRUST=1 before docker pull/build
...
[+] Running Trivy
juice-shop/frontend/package-lock.json
=====================================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 2, CRITICAL: 0)
+---------------------+------------------+----------+---------+-------------------------+
| LIBRARY | VULNERABILITY ID | SEVERITY | VERSION | TITLE |
+---------------------+------------------+----------+---------+-------------------------+
| object-path | CVE-2020-15256 | HIGH | 0.11.4 | Prototype pollution in |
| | | | | object-path |
+---------------------+------------------+ +---------+-------------------------+
| tree-kill | CVE-2019-15599 | | 1.2.2 | Code Injection |
+---------------------+------------------+----------+---------+-------------------------+
| webpack-subresource | CVE-2020-15262 | LOW | 1.4.1 | Unprotected dynamically |
| | | | | loaded chunks |
+---------------------+------------------+----------+---------+-------------------------+
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
juice-shop/package-lock.json
============================
Total: 5 (CRITICAL: 5)
...
[+] Removing left-overs
[+] Making the output look pretty
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.htmlÍomhá docker leis na fóntais go léir
Mar an tríú rogha eile, thiomsaigh mé dhá Dockerfiles simplí chun íomhá a chruthú le fóntais slándála. Cabhróidh Dockerfile amháin le sraith a thógáil chun an íomhá a scanadh ón stór, tógfaidh an dara ceann (Dockerfile_tar) sraith chun an comhad tarra a scanadh leis an íomhá.
1. Tógaimid an comhad Docker cuí agus na scripteanna ón stór .
2. Rith sé le haghaidh tionóil:
docker build -t dscan:image -f docker_security.df .
3. Tar éis an tógáil a bheith críochnaithe, cruthaigh coimeádán ón íomhá. Ag an am céanna, cuirimid an t-athróg timpeallachta DOCKERIMAGE ar aghaidh le hainm na híomhá a bhfuil suim againn ann agus cuirimid an Dockerfile a theastaíonn uainn a anailísiú ónár meaisín go dtí an comhad /Dockerfile (tabhair faoi deara go dteastaíonn cosán iomlán chuig an gcomhad seo):
docker run --rm -v $(pwd)/results:/results -v $(pwd)/docker_security.df:/Dockerfile -e DOCKERIMAGE="bkimminich/juice-shop" dscan:image
[+] Setting environment variables
[+] Running Hadolint
/Dockerfile:3 DL3006 Always tag the version of an image explicitly
[+] Running Dockle
WARN - DKL-DI-0006: Avoid latest tag
* Avoid 'latest' tag
INFO - CIS-DI-0005: Enable Content trust for Docker
* export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
* not found HEALTHCHECK statement
INFO - DKL-LI-0003: Only put necessary files
* unnecessary file : juice-shop/node_modules/sqlite3/Dockerfile
* unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm64/Dockerfile
* unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm/Dockerfile
[+] Running Trivy
...
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
[+] Making the output look pretty
[+] Starting the main module ============================================================
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.htmlTorthaí
Níl ach sraith bhunúsach amháin d'fhóntais scanadh Déantán Docker clúdaithe againn, rud a chlúdaíonn cuid mhaith de riachtanais slándála íomhá go héifeachtach, dar liom. Tá go leor uirlisí íoctha agus saor in aisce eile ann ar féidir leo na seiceálacha céanna a dhéanamh, tuairiscí áille a tharraingt nó oibriú i mód consóil amháin, córais bainistíochta coimeádáin a chlúdach, etc. D'fhéadfadh forbhreathnú ar na huirlisí seo agus conas iad a chomhtháthú le feiceáil beagán níos déanaí.
Is é an taobh dearfach den tsraith uirlisí a thuairiscítear san alt ná go bhfuil siad go léir tógtha ar fhoinse oscailte agus is féidir leat triail a bhaint astu agus uirlisí eile dá samhail chun a fháil amach cad a oireann do do riachtanais agus do ghnéithe bonneagair. Ar ndóigh, ba cheart staidéar a dhéanamh ar gach leochaileacht a fhaightear le haghaidh infheidhmeachta i gcoinníollacha sonracha, ach is ábhar é seo d'alt mór sa todhchaí.
Tá súil agam go gcabhróidh na treoracha, na scripteanna agus na fóntais seo leat agus go mbeidh siad mar phointe tosaigh chun bonneagar níos sláine a chruthú i réimse an choimeádaithe.
Foinse: will.com