镜像扫描¶
镜像被下载后可以直接使用,为用户提供了很多方便,但是不一定安全,可能被恶意植入后门。用户需要扫描下载的镜像,获知镜像安全信息。
在 (DevOps) CI/CD 过程中,镜像被直接推送到镜像仓库,无法保证镜像的安全性,存在持续安全集成自动扫描的需求。
安全扫描是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然,建议定时/手动扫描镜像。
(投产)容器到生产环境之后,生产环境对容器的安全性要求较高,需要容器的安全性得到保证,因此使用镜像运行容器前,一定要对镜像进行扫描,从而提高安全性。
最后扫描结果应提供更多有关纠正措施的指导。当用户收到容器镜像受到漏洞困扰的坏消息时,需要为自己找出修复方法,漏洞来自哪里?可以做些什么来解决问题?
镜像扫描特性¶
目前 DCE 5.0 的镜像仓库模块支持以下几种扫描镜像:
- 托管的 Harbor 仓库支持 Trivy 扫描。
- 原生的 Harbor 仓库支持 Clair 和 Trivy 扫描,具体取决于用户安装了什么插件。
用户在扫描镜像索引时,会同步扫描被索引的所有镜像,扫描结果为被索引镜像的扫描结果之和。
手动扫描镜像¶
对于关联和集成的仓库,将出现在镜像列表中。您可以按需手动扫描某些镜像。
-
进入镜像仓库的 镜像列表 中,选择一个实例和镜像空间,点击某一个镜像。
-
在镜像详情列表中,点击列表右侧的 ┇ ,在弹出菜单中选择 扫描 。
-
系统开始扫描镜像,通常状态依次为 排队中 、 扫描中 、 扫描完成 。
扫描状态包括:
- 未扫描:镜像从未被扫描过。
- 不支持:此镜像不支持扫描。
- 排队中:扫描任务已安排但尚未运行。
- 扫描中:扫描任务正在进行中,并显示进度条。
- 查看日志:扫描任务未能完成。点击 查看日志 以查看相关日志。
- 扫描完成:扫描任务成功完成。
-
扫描完成后,将光标悬浮在扫描完成的比例条上,可以查看扫描详情。
扫描原生 Harbor 镜像¶
集成的原生 Harbor 仓库,支持按 Clair 或 Trivy 进行扫描。
具体操作步骤为:
-
以平台管理员登录镜像仓库,点击左侧底部的 仓库集成 。
-
在集成的仓库列表中,光标悬浮于某个仓库上,点击 原生 Harbor 图标。
-
跳转到原生 Harbor,参阅扫描 Harbor 镜像。