关于安全:Artifact-Hub-的容器镜像扫描和安全报告

49次阅读

共计 1109 个字符,预计需要花费 3 分钟才能阅读完成。

2020 年 CNCF 中国云原生考察

10 人将获赠 CNCF 商店 $100 美元礼券!

你填了吗?

问卷链接(https://www.wjx.cn/jq/9714648…)


作者:Matt Farina

当试图决定应用哪些制品时,理解一些对于制品安全性的信息是很有用的。应用 Artifact Hub,能够看到基于容器的制品的平安扫描,比方基于 Operator Framework OLM 的操作器、一些 Helm Charts、OPA 策略和 Tinkerbell 操作。

OLM Operators

当一个操作器蕴含一个能够被扫描的镜像时,最初一次扫描的镜像,和拜访残缺的报告能够在侧边栏中找到。下图为 Starboard Operator,由社区操作员提供,显示了一份没有破绽的报告。

留神:SCRATCH 镜像,例如那些没有底层,只蕴含一个二进制文件的镜像,以及应用最新标记的镜像不会被扫描。

Helm Charts

Helm charts 的状况,就像基于 OLM 的操作器一样,能够抉择进行镜像扫描和提供报告。上面的 tavern chart 提供了一个示例,阐明了一份没有破绽的报告。与 OLM 操作器一样,它显示一个等级、执行最初一次扫描的工夫以及查看残缺报告的能力。

Helm charts 并不能提供一种简略的办法来获取所有可能在 chart 中应用的镜像。咱们不可能晓得如何在所有可能的配置中找到所有的图表来检测其中的镜像。为了使 Artifact Hub 可能发现镜像,chart 作者须要在 Chart.yaml 的正文中列出它们。格局示例如下:

annotations:
  artifacthub.io/images: |
    - name: img1
      image: repo/img1:1.0.0
    - name: img2
      image: repo/img2:2.0.0

你能够在 Helm 反对的正文文档中理解更多对于列出镜像的信息。

它是如何工作的

平安报告是应用 Trivy 和定期扫描生成的。扫描仪查看未扫描的镜像。7 天前最初一次扫描的镜像会被从新扫描,即便没有更改包。这将使报告显示新发现的 CVE 的检测。

有些镜像无奈被扫描,比方在一个 scratch 容器中应用二进制文件的镜像,或者应用 latest 标记的镜像。在这些状况下,将不显示报告。

你能够在文档中理解无关平安报告的更多信息。

点击浏览网站原文。


CNCF (Cloud Native Computing Foundation) 成立于 2015 年 12 月,隶属于 Linux  Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培养和保护一个厂商中立的开源生态系统,来推广云原生技术。咱们通过将最前沿的模式民主化,让这些翻新为公众所用。扫描二维码关注 CNCF 微信公众号。

正文完
 0