镜像扫描
操作场景
容器镜像安全扫描旨在保障镜像在开发、部署及运行的整个生命周期中的安全性,通过扫描系统漏洞、应用漏洞、恶意文件、软件信息、文件信息、基线配置、弱口令、敏感信息、软件合规和基础镜像信息等,帮助用户识别潜在的风险问题。确保所有部署到生产环境的镜像都已通过严格的安全检查,从而保障系统和应用安全稳定的运行。
容器镜像服务企业版支持对托管的容器镜像进行安全扫描,生成扫描报告,并对镜像中的漏洞给出修复建议,帮助您得到一个安全的镜像。支持两种镜像扫描形式。
- 手动扫描:支持用户对某个制品进行手动触发扫描。
- 自动扫描:对命名空间配置开启自动扫描,开启之后上传到该命名空间的镜像自动触发镜像扫描。同步到该命名空间的镜像也会自动触发镜像扫描。
同时当镜像有漏洞时,可以在命名空间上配置镜像下载阻断的能力,不允许下载镜像,可有效降低生产环境漏洞风险。存在某些特定漏洞的镜像如果依然需要下载可以通过配置漏洞白名单,镜像所有的漏洞均在白名单中时,也可以正常下载镜像。
- 镜像下载阻断的功能在扫描成功且扫描出来的漏洞全部都已配置在了漏洞白名单中时才不会阻断下载,其他情况都会阻断。
- 镜像扫描依托于HSS服务,即开即用、按次收费,了解收费详情请参见HSS计费项。HSS服务支持扫描特定操作系统和媒体类型,详情请参阅各扫描项支持的操作系统和媒体类型。
约束与限制
- 单个镜像仓库实例支持同时进行制品扫描任务的并发数为10个。
- 当前只支持单一架构容器镜像的扫描,不支持多架构镜像和chart包的扫描。
- 支持扫描的镜像总大小不能超过50G,镜像层数不能超过127层,单个镜像层不能超过10G。
前提条件
特性开关
|
特性开关 |
开启/关闭方法 |
备注 |
|---|---|---|
|
授权制品扫描 |
|
该授权仅在当前区域生效,如果切换区域需要重新授权。
注意:
单租户在单Region仅需执行一次。 |
|
自动扫描镜像 |
|
创建命名空间时,该参数默认关闭,且不支持配置。仅支持通过编辑命名空间来配置。 |
|
阻止潜在漏洞镜像 |
|
创建命名空间时,该参数默认关闭,且不支持配置。仅支持通过编辑命名空间来配置。
说明:
|
手动镜像扫描
- 登录容器镜像服务企业版控制台,在页面左上角切换Region到您所在的Region。单击仓库名称进入。
- 在左侧导航栏选择“镜像仓库”,单击镜像名称,在进入的新页面单击镜像列表中要扫描镜像操作列的“镜像扫描”。
镜像版本为空的镜像制品不支持镜像扫描。
- 扫描完成后请查看扫描报告,该报告在扫描完成后自动展示。
镜像扫描失败常见问题
|
失败原因 |
解决办法 |
|---|---|
|
访问SWR服务出错 |
请您提交工单,通过工单向技术人员寻求帮助。 |
|
缺少SWR授权 |
完成授权,授权方法请参见SWR授权方法。 |
|
获取镜像详细信息失败,镜像仓中可能已经不存在此镜像 |
请在主机/容器安全 HSS控制台的“风险预防-容器镜像安全-仓库镜像”页面,单击“同步镜像列表”,更新镜像列表信息,确认该镜像是否已经不存在。 |
|
镜像下载失败 |
请您提交工单,通过工单向技术人员寻求帮助。 |
|
镜像大小超限,不支持扫描 |
镜像总大小不能超过50G,建议精简镜像。 |
|
镜像层数超限,不支持扫描 |
镜像层数不能超过127层,单个镜像层不能超过10G。建议精简镜像。 |
|
Schema v1镜像不支持扫描 |
建议将Schema镜像升级到V2版本。 |
|
扫描镜像的时间超过3小时的超时时间,系统自动中止扫描。 |
建议精简镜像。 |
