更新时间:2024-11-15 GMT+08:00

管理本地镜像

企业主机安全支持对本地镜像手动执行漏洞和软件信息的扫描并提供扫描报告。本章节介绍如何对本地镜像执行安全扫描和如何查看扫描报告。

约束限制

  • 仅支持Docker、Containerd运行时的本地镜像上报到企业主机安全控制台。
  • 仅支持对Linux镜像执行安全扫描。
  • 镜像扫描仅支持扫描存储驱动为OverlayFS或OverlayFS2的节点,暂不支持扫描Device Mapper类节点。
  • 镜像扫描不支持扫描镜像或版本名称为“--”的镜像。
  • 镜像扫描默认路径为/var/run目录,对其他目录无访问权限,如果Docker Root Dir不为/var/run/目录时HSS无法完成镜像扫描。建议在Containerd主机上完成镜像扫描。
  • 扫描cce-pause/pause容器镜像,HSS需要启动sh/bash进程,如果cce-pause/pause容器没有sh/bash进程,镜像扫描任务会执行失败。

    cce-pause/pause容器为沙盒容器,内部仅有一个静态编译的进程,不存在漏洞配置风险,因此如果镜像扫描任务执行失败,无影响。

查看本地镜像

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  4. 选择容器镜像 > 本地镜像,查看本地镜像信息。

    您可以查看镜像的名称、版本、类型、安全风险等信息。

    • 查看镜像关联主机信息

      在目标镜像所在行的服务器名称列,单击服务器名称,进入关联主机列表页面,可以查看镜像关联主机的详细信息。

    • 查看镜像关联容器信息

      在目标镜像所在行的关联容器数列,单击关联数字,进入关联容器列表页面,可以查看镜像关联容器的详细信息。

    • 查看镜像组件信息

      在目标镜像所在行的组件数列,单击数字,进入组件列表页面,可以查看镜像组件的详细信息。

    • 查看镜像安全风险

      鼠标悬停至目标镜像所在行的安全风险列,可查看镜像风险分布数量,单击数值可跳转至风险详情页查看。

扫描本地镜像

您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成,扫描完成后,单击“安全报告”查看安全报告。

本地镜像支持的安全扫描项如下:

扫描项

说明

漏洞

检测镜像中存在的漏洞。

软件信息

统计镜像中的软件信息。

  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  3. 选择容器镜像 > 本地镜像
  4. 为单个镜像或多个镜像执行安全扫描。

    • 单个镜像安全扫描

      在目标镜像所在行的“操作”列,单击“安全扫描”,为单个目标镜像执行安全扫描。

    • 批量镜像安全扫描

      勾选所有目标镜像并单击镜像列表上方的“批量扫描”,为多个目标镜像执行安全扫描。

    • 全量镜像安全扫描

      单击镜像列表上方的全量扫描,为所有镜像执行安全扫描。

      全量扫描时间较长,且开始全量扫描后无法中断扫描,请谨慎操作!

  5. 在弹出的提示框中,单击“确定”,启动扫描任务。

    全量扫描任务启动后,您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。

  6. 当镜像“扫描状态”更新为“扫描完成”,且“最近一次扫描完成时间”更新为最近任务执行时间,表示镜像安全扫描完成。

查看本地镜像漏洞报告和软件信息

  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  3. 选择容器镜像 > 本地镜像
  4. 在目标镜像所在行的“操作”列,单击“安全报告”,进入安全扫描报告界面,查看漏洞报告和软件信息。

导出本地镜像漏洞报告

  1. 登录管理控制台,进入企业主机安全页面。
  1. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  1. 选择容器镜像 > 本地镜像
  2. 单击镜像列表上方“漏洞导出”,导出漏洞报告。

    如果您想要导出指定镜像的漏洞报告,您可以在漏洞列表上方的搜索框中选择指定类型的镜像后,再单击“漏洞导出”

  3. 在容器管理界面上方查看导出状态,待导出成功后,在主机本地默认下载文件地址,获取导出的信息。

    导出过程中,请勿关闭浏览器页面,否则会导致导出任务中断。