更新时间:2024-11-15 GMT+08:00
管理本地镜像
企业主机安全支持对本地镜像手动执行漏洞和软件信息的扫描并提供扫描报告。本章节介绍如何对本地镜像执行安全扫描和如何查看扫描报告。
约束限制
- 仅HSS容器版支持该功能,购买和升级HSS的操作,请参见购买主机安全防护配额和配额版本升级。
- 仅支持Docker、Containerd运行时的本地镜像上报到企业主机安全控制台。
- 仅支持对Linux镜像执行安全扫描。
- 镜像扫描仅支持扫描存储驱动为OverlayFS或OverlayFS2的节点,暂不支持扫描Device Mapper类节点。
- 镜像扫描不支持扫描镜像或版本名称为“--”的镜像。
- 镜像扫描默认路径为/var/run目录,对其他目录无访问权限,如果Docker Root Dir不为/var/run/目录时HSS无法完成镜像扫描。建议在Containerd主机上完成镜像扫描。
- 扫描cce-pause/pause容器镜像,HSS需要启动sh/bash进程,如果cce-pause/pause容器没有sh/bash进程,镜像扫描任务会执行失败。
cce-pause/pause容器为沙盒容器,内部仅有一个静态编译的进程,不存在漏洞配置风险,因此如果镜像扫描任务执行失败,无影响。
查看本地镜像
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择
,查看本地镜像信息。
您可以查看镜像的名称、版本、类型、安全风险等信息。
扫描本地镜像
您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成,扫描完成后,单击“安全报告”查看安全报告。
本地镜像支持的安全扫描项如下:
扫描项 |
说明 |
---|---|
漏洞 |
检测镜像中存在的漏洞。 |
软件信息 |
统计镜像中的软件信息。 |
- 登录管理控制台,进入企业主机安全页面。
- 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
- 选择 。
- 为单个镜像或多个镜像执行安全扫描。
- 在弹出的提示框中,单击“确定”,启动扫描任务。
全量扫描任务启动后,您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。
- 当镜像“扫描状态”更新为“扫描完成”,且“最近一次扫描完成时间”更新为最近任务执行时间,表示镜像安全扫描完成。
查看本地镜像漏洞报告和软件信息
- 登录管理控制台,进入企业主机安全页面。
- 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择 。
- 在目标镜像所在行的“操作”列,单击“安全报告”,进入安全扫描报告界面,查看漏洞报告和软件信息。
导出本地镜像漏洞报告
- 登录管理控制台,进入企业主机安全页面。
- 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
- 选择 。
- 单击镜像列表上方“漏洞导出”,导出漏洞报告。
如果您想要导出指定镜像的漏洞报告,您可以在漏洞列表上方的搜索框中选择指定类型的镜像后,再单击“漏洞导出”。
- 在容器管理界面上方查看导出状态,待导出成功后,在主机本地默认下载文件地址,获取导出的信息。
导出过程中,请勿关闭浏览器页面,否则会导致导出任务中断。