更新时间:2025-09-08 GMT+08:00
扫描仓库镜像安全
操作场景
仓库镜像可以通过手动扫描、定时扫描两种扫描方式进行扫描:
- 手动扫描:手动对单个或多个镜像执行扫描操作,适用于需要即时了解镜像安全现状的场景。
- 定时扫描:设置定时扫描策略,对镜像执行周期性的扫描,适用于定期检测镜像安全,减少镜像安全风险的场景。此扫描方式仅支持扫描三方仓库镜像,如Harbor、Jfrog。
前提条件
- 仓库镜像安全扫描需要开通容器镜像按次收费扫描增值服务,开通后,HSS将按扫描每个镜像的次数进行收费。开通容器镜像按次收费扫描。
- 如需扫描三方镜像仓库中的镜像,请先将三方镜像仓库接入HSS,详细操作请参见接入三方镜像仓。
约束限制
- SWR共享镜像只有镜像状态为“有效”时,可执行安全扫描。
- 多架构镜像不支持手动扫描、定时扫描。
手动扫描仓库镜像
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 在左侧导航栏,选择,进入“容器镜像安全”界面。
- 在页面右上方,单击“手动扫描”,弹出手动扫描对话框。
如仅需扫描单个镜像,您也可以选择“镜像视图”,在目标镜像所在行的“操作”列,单击“立即扫描”。
- 选择“仓库镜像”页签,配置手动扫描参数,相关参数说明请参见表1。
图1 手动扫描仓库镜像
- 确认使用后需要支付的费用,并单击“确定”,开始扫描。
- 在页面右上角,单击“任务管理”,选择“镜像扫描”页签,可查看镜像扫描任务执行情况。
- 镜像扫描任务执行完成后,返回“镜像视图”列表,可查看每个镜像的扫描状态。扫描状态说明请参见表2。
定时扫描仓库镜像
- 登录企业主机安全控制台。
- 在控制台左上角,单击图标,选择区域或项目。
- 在左侧导航栏,选择,进入“容器镜像安全”界面。
- 在页面右上方,单击“定时扫描策略”,弹出“定时扫描策略配置”对话框。
- 配置定时扫描参数,如图 定时扫描策略所示,相关参数说明请参见表3。
表3 定时扫描策略参数说明 参数名称
参数说明
取值样例
定时扫描策略
定时扫描策略开关,开启后可查看和配置定时扫描参数。
表示关闭
表示开启
定时扫描周期
单击
可选择扫描周期,扫描时段固定为00:00:00 - 07:00:00。每三天
扫描风险类型
勾选需要扫描的风险类型,支持选择“漏洞风险”、“基线检查”、“恶意文件”、“敏感信息”、“软件合规”。
HSS会默认扫描“软件信息”、“文件信息”和“基础镜像”信息,此处无需选择。
全选
三方镜像仓限速
如果您有大量镜像待扫描,但您担心集中扫描镜像时占用过多网络带宽,影响您的业务,您可以单击
,选择扫描镜像的速度,限制每小时扫描镜像的数量。不限制
镜像时间范围
选择镜像更新的时间范围。时间范围决定哪些镜像会被扫描。
例如,扫描时间范围选择“最近15天”,那么HSS只会扫描最近15天内更新的镜像,更新时间超过15天的镜像,则不会被扫描。
最近15天
选择镜像仓
勾选需要扫描的镜像类型。
Harbor仓库镜像
- 确认使用后需要支付的费用,单击“确定”,开始扫描。
- 在页面右上角,单击“任务管理”,选择“镜像扫描”页签,可查看镜像扫描任务执行情况。
- 镜像扫描任务执行完成后,返回“镜像视图”列表,可查看每个镜像的扫描状态。扫描状态说明请参见表4。
停止扫描任务
如果镜像扫描任务开始执行后,您想要停止扫描,可参考如下操作:
约束限制
停止扫描任务的IAM用户必须具备如下两类权限:
- 企业主机安全服务权限:批量扫描镜像(hss:images:set)或容器资产管理(hss:containers:set)权限。授权操作请参见通过IAM授予使用HSS的权限。
- 命名空间权限(Kubernetes RBAC授权):具有对HSS命名空间中“job”或“cronjob”资源的删除权限。
操作步骤
- 在“容器镜像安全”界面右上角,单击“任务管理”,弹出“任务管理”页面。
- 在“镜像扫描”页签,找到目标任务。
- 在目标任务所在行的“操作”列,单击“取消扫描”。
- 查看目标任务的“镜像扫描情况”列显示为“已取消扫描”,表示镜像扫描任务取消成功。
