管理SWR私有镜像

约束限制

• 仅HSS容器版支持该功能，购买和升级HSS的操作，请参见购买主机安全防护配额和配额版本升级。

• 仅支持对Linux镜像执行安全扫描。

查看私有镜像

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全服务”，进入主机安全平台界面。
3. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
   

   如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

4. 选择“容器镜像 > 私有镜像（SWR）”，查看私有镜像信息。
5. 单击“从SWR更新自有镜像”，可以同步SWR所有自有镜像。
   

   在同步镜像时需要在SWR授权才能正常同步，操作详情请参见SWR授权方法。

手动扫描私有镜像

您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。

SWR私有镜像支持的安全扫描项如下：

1. 登录管理控制台，进入主机安全服务页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”。
4. 为单个镜像或多个镜像执行安全扫描。
   

   • 多架构镜像不支持批量扫描、全量扫描操作。
   • 全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！
   • 单个镜像安全扫描

     在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。

   • 批量镜像安全扫描

     勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。

   • 全量镜像安全扫描

     单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。

5. 在弹出的提示框中，单击“确定”，启动扫描任务。

   全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。

6. 待目标镜像“扫描状态”列显示为“扫描完成”，即扫描结束。

查看私有镜像漏洞报告

扫描完成后，可查看安全报告。

1. 登录管理控制台，进入主机安全服务页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”，单击“操作”列的“安全报告”，查看该镜像版本的报告详情。
   图1 安全报告
   

4. 选择“漏洞报告”，查看漏洞报告。
   • 查看漏洞详情

     单击漏洞名称，进入漏洞详情页面，查看漏洞基本信息以及受影响的镜像。

   • 查看漏洞CVEID、CVSS分值以及披露时间

     单击目标漏洞名称前，展开查看漏洞CVEID、CVSS分值以及披露时间。

   • 查看漏洞解决方案

     在目标漏洞所在行的“解决方案”列，单击解决方案描述，跳转至解决方案详情页面，查看漏洞解决方案详情。

查看私有镜像恶意文件报告

扫描完成后，可查看镜像上存在的恶意文件。本节介绍查看镜像版本中存在的恶意文件。

1. 登录管理控制台，进入主机安全服务页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”，单击“操作”列的“安全报告”，查看该镜像版本的报告详情。
   图2 安全报告
   

4. 选择“恶意文件”页签，查看镜像上存在的恶意文件。

查看私有镜像软件信息报告

1. 登录管理控制台，进入主机安全服务页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”，单击“操作”列的“安全报告”，查看该镜像版本的报告详情。
   图3 安全报告
   

4. 选择“软件信息”页签，查看该镜像版本包含的软件、软件类型和软件中存在的漏洞数。
5. 单击软件名称前的，可查看该软件中漏洞的漏洞名称、修复紧急度和解决方案。

查看私有镜像文件信息报告

1. 登录管理控制台，进入主机安全服务页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”，单击“操作”列的“安全报告”，查看该镜像版本的报告详情。
   图4 安全报告
   

4. 单击“文件信息”页签，查看镜像上的文件信息。
   包含：文件个数，总文件大小以及文件大小排在前五十的文件详情。

   图5 文件信息
   

查看私有镜像基线检查报告

1. 登录管理控制台，进入主机安全服务页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”，单击“操作”列的“安全报告”，查看该镜像版本的报告详情。
   图6 安全报告
   

4. 选择“基线检查”，查看基线检查报告。

   您可以查看目标镜像的配置检查、口令复杂度策略检查、经典弱口令检查结果。

   • 查看配置检查详情和修改建议
     1. 在基线配置检查页签，勾选目标基线。
     2. 在目标检测项所在行的检测项列，单击“检测详情，”右面弹出检测详情页面，可以查看检测项描述以及修改建议。
   • 自定义经典弱口令
     1. 在经典弱口令检测页签，单击“自定义弱口令管理”，进入自定义弱口令详情页面。
     2. 输入弱口令完成后，单击“确认”。

查看私有镜像敏感信息报告

1. 登录管理控制台，进入主机安全服务页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”，单击“操作”列的“安全报告”，查看该镜像版本的报告详情。
   图7 安全报告
   

4. 单击“敏感信息”页签，查看镜像敏感信息详情，并可对风险告警进行忽略处理。
5. 单击“敏感文件过滤路径管理”，查看自定义的白名单路径信息，同时可进行编辑。
   图8 编辑敏感文件路径白名单
   

   表1 自定义路径配置说明

   路径规格项	规格描述	取值样例
   支持系统	仅支持Linux。	-
   填写规范	最多自定义20个路径，多路径配置时不同路径之间用回车符号进行分隔。	/usr/ /lib/test.txt
   默认白名单路径	默认支持的白名单目录或文件格式如下，无需配置。 /usr/* /lib/* /lib32/* /bin/* /sbin/* /var/lib/* /var/log/* 任意路径/node_modules/任意路径/任意名称.md 任意路径/node_modules/任意路径/test/任意路径 */service/iam/examples_test.go 任意路径/grafana/public/build/任意名称.js 说明： 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。	-
   不扫描场景	文件大于20MB。 以下文件类型中时不进行扫描： 常用二进制文件类型 常用程序文件类型 自动生成文件类型	jpg|png|gif|mov|avi|mpeg|pdf|mp4|mp3|svg|tar|gz|zip js|jar|java||md|cpp|cxx|scala|pl [0-9a-zA-Z_-]{32,64}

查看私有镜像软件合规报告

1. 登录管理控制台，进入主机安全服务页面。

2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”。
4. 在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。
5. 选择“软件合规”，查看软件合规报告。

   您可以查看不合规软件的名称、软件版本、路径、镜像层信息。

查看私有镜像基础镜像信息报告

1. 登录管理控制台，进入主机安全服务页面。

2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”。
4. 在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面。
5. 选择“基础镜像信息”，查看基础镜像信息报告。

   您可以查看未使用基础镜像构建的业务镜像的名称、版本、镜像层路径信息。

导出私有镜像漏洞报告或基线报告

多架构镜像不支持导出漏洞、基线报告。

1. 登录管理控制台，进入主机安全服务页面。

2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 私有镜像（SWR）”。
4. 单击镜像列表上方“导出”，选择导出报告类型，导出漏洞或基线报告。

   如果您想要导出指定镜像的报告，您可以在漏洞列表上方的搜索框中选择指定类型的镜像后，再单击“导出”。

5. 在容器管理界面上方查看导出状态，待导出成功后，在主机本地默认下载文件地址，获取导出的信息。
   

   导出过程中，请勿关闭浏览器页面，否则会导致导出任务中断。