容器镜像安全概述

什么是镜像？

镜像（Image）是一个模板，是容器应用打包的标准格式，用于创建容器。或者说，镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建之后也不会被改变。在部署容器化应用时可以指定镜像，镜像可以来自于Harbor、容器镜像服务或者用户的私有镜像仓库。

什么是容器镜像安全？

容器镜像安全旨在保障镜像在开发、部署及运行的整个生命周期中的安全性，通过扫描系统漏洞、应用漏洞、恶意文件、软件信息、文件信息、基线配置、弱口令、敏感信息、软件合规和基础镜像信息，帮助用户识别并修复潜在的风险问题，确保所有部署到生产环境的镜像都已通过严格的安全检查，从而保障系统和应用安全稳定的运行。

容器镜像安全为三类镜像提供镜像扫描服务，包括CI/CD镜像、仓库镜像、本地镜像，满足不同使用场景和生命周期阶段的容器镜像安全扫描需求。

• CI/CD镜像：在持续集成（CI）和持续交付（CD）流程中，对构建的容器镜像进行深度安全扫描分析，确保镜像交付质量。
• 仓库镜像：对于存储在容器镜像仓库（如Harbor、容器镜像服务SWR等）中的镜像，实施安全扫描，防范潜在的安全威胁。
• 本地镜像：针对存储或运行在宿主机上的容器镜像执行安全检查，保障本地环境的镜像安全。

此外，容器镜像安全还提供了风险视图、镜像视图双维度的镜像安全视图，帮助用户从资产维度审视风险，从风险维度分析实例，多维度感知系统风险状况，实现一站式镜像风险监控和安全管理。