管理本地镜像

约束限制

• 仅HSS容器版支持该功能，购买和升级HSS的操作，请参见购买主机安全防护配额和配额版本升级。

• 仅支持Docker、Containerd运行时的本地镜像上报到企业主机安全控制台。
• 仅支持对Linux镜像执行安全扫描。
• 镜像扫描仅支持扫描存储驱动为OverlayFS或OverlayFS2的节点，暂不支持扫描Device Mapper类节点。
• 镜像扫描不支持扫描镜像或版本名称为“--”的镜像。
• 镜像扫描默认路径为/var/run目录，对其他目录无访问权限，如果Docker Root Dir不为/var/run/目录时HSS无法完成镜像扫描。建议在Containerd主机上完成镜像扫描。
• 扫描cce-pause/pause容器镜像，HSS需要启动sh/bash进程，如果cce-pause/pause容器没有sh/bash进程，镜像扫描任务会执行失败。

  cce-pause/pause容器为沙盒容器，内部仅有一个静态编译的进程，不存在漏洞配置风险，因此如果镜像扫描任务执行失败，无影响。

查看本地镜像

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台界面。
3. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
   

   如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

4. 选择“容器镜像 > 本地镜像”，查看本地镜像信息。

   您可以查看镜像的名称、版本、类型、安全风险等信息。

   • 查看镜像关联主机信息

     在目标镜像所在行的服务器名称列，单击服务器名称，进入关联主机列表页面，可以查看镜像关联主机的详细信息。

   • 查看镜像关联容器信息

     在目标镜像所在行的关联容器数列，单击关联数字，进入关联容器列表页面，可以查看镜像关联容器的详细信息。

   • 查看镜像组件信息

     在目标镜像所在行的组件数列，单击数字，进入组件列表页面，可以查看镜像组件的详细信息。

   • 查看镜像安全风险

     鼠标悬停至目标镜像所在行的安全风险列，可查看镜像风险分布数量，单击数值可跳转至风险详情页查看。

扫描本地镜像

您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。

本地镜像支持的安全扫描项如下：

1. 登录管理控制台，进入企业主机安全页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
3. 选择“容器镜像 > 本地镜像”。
4. 为单个镜像或多个镜像执行安全扫描。
   • 单个镜像安全扫描

     在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。

   • 批量镜像安全扫描

     勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。

   • 全量镜像安全扫描

     单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。

     

     全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！

5. 在弹出的提示框中，单击“确定”，启动扫描任务。

   全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。

6. 当镜像“扫描状态”更新为“扫描完成”，且“最近一次扫描完成时间”更新为最近任务执行时间，表示镜像安全扫描完成。

查看本地镜像漏洞报告和软件信息

1. 登录管理控制台，进入企业主机安全页面。
2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。
   

   如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

3. 选择“容器镜像 > 本地镜像”。
4. 在目标镜像所在行的“操作”列，单击“安全报告”，进入安全扫描报告界面，查看漏洞报告和软件信息。

导出本地镜像漏洞报告

1. 登录管理控制台，进入企业主机安全页面。

2. 在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。

3. 选择“容器镜像 > 本地镜像”。
4. 单击镜像列表上方“漏洞导出”，导出漏洞报告。

   如果您想要导出指定镜像的漏洞报告，您可以在漏洞列表上方的搜索框中选择指定类型的镜像后，再单击“漏洞导出”。

5. 在容器管理界面上方查看导出状态，待导出成功后，在主机本地默认下载文件地址，获取导出的信息。
   

   导出过程中，请勿关闭浏览器页面，否则会导致导出任务中断。