更新时间:2026-01-13 GMT+08:00
本地镜像安全扫描概述
什么是本地镜像安全扫描?
本地镜像是指存储或运行在容器宿主机上的镜像资源,这些容器镜像可能来自没有安全保障的自建仓库,或者是由研发人员未经严格的安全审查流程自行上传,其中可能存在安全漏洞或其他风险,一旦运行会对用户的生产环境构成威胁。
本地镜像安全扫描通过扫描本地镜像,发现其中存在的系统漏洞、应用漏洞等安全隐患并提供修复建议,帮助用户减少因使用不合规或非法镜像而导致的风险。
本地镜像安全扫描原理
企业主机安全服务通过将扫描工具嵌入到镜像内部,访问并解析镜像文件系统,对每个文件和目录进行全面的安全检查。检查完成后,将所有检查结果汇总并上报至管理控制台。
本地镜像安全扫描项
本地镜像安全扫描项如表1所示。
|
扫描项 |
说明 |
|---|---|
|
漏洞风险 |
检测镜像中存在系统漏洞、应用漏洞。
|
|
软件信息 |
统计镜像中的软件信息。 |
|
经典弱口令 |
基于本地镜像的静态信息作为口令基线标准,结合容器运行时的动态参数,检测容器中可能存在的弱口令。 限制如下:
|
应用场景
适用于企业或组织在使用容器化技术部署应用时,扫描生产环境的镜像安全。
约束限制
- HSS版本约束:仅HSS容器版支持本地镜像安全扫描功能,支持无限次镜像扫描。购买和升级HSS的操作,请参见购买主机安全防护配额和配额版本升级。
- 支持扫描的运行时环境:可扫描Docker、Containerd、Podman、CRI-O和iSulad运行时的Linux本地镜像,其中CRI-O仅支持非集群节点。
- 存储驱动要求:overlay、overlay2、devicemapper、zfs和btrfs。
- 镜像存储路径限制:存储驱动为overlay、overlay2、devicemapper和zfs时支持扫描所有本地文件系统路径;存储驱动为btrfs时仅支持扫描默认的root路径,包括/var/lib/docker、/var/run/containerd、/var/lib/containers、/var/lib/podman和/var/lib/isulad。
- 不支持扫描的镜像名称:不支持扫描镜像或版本名称为“--”的镜像。
- cce-pause/pause镜像扫描说明:企业主机安全需要启动sh/bash进程,如果cce-pause/pause容器没有sh/bash进程,镜像扫描任务会执行失败。cce-pause/pause容器为沙盒容器,内部仅有一个静态编译的进程,不存在漏洞配置风险,因此如果镜像扫描任务执行失败,无影响。
本地镜像安全扫描使用流程
图1 使用流程
|
操作项 |
说明 |
|---|---|
|
集群节点或集群节点安装企业主机安全Agent成功后,Agent会立即启动镜像同步任务,将本地镜像信息同步至企业主机安全控制台;此后每24小时进行一次信息更新同步。 您在查看到本地镜像信息后,可手动执行镜像安全扫描,检测本地镜像安全。 |
|
|
查看本地镜像安全扫描结果,清理不安全的镜像或镜像风险项,避免不安全的镜像影响生产环境。 |
