容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描,识别镜像中所有已知的漏洞信息,并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描,并获取镜像漏洞信息。
概述
在云原生平台中,容器镜像安全是云原生应用交付安全的重要一环,为了保障部署的服务安全性,防止服务因镜像漏洞被恶意攻击, 容器镜像服务CRS提供了对镜像进行安全扫描功能,不仅提升了容器整体的安全性,保护服务的安全。您可以在容器镜像服务页面中触发扫描,安全扫描的时长主要取决于镜像的大小,一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案,相关漏洞信息来自官方漏洞库,并定期保持同步。
注意
受扫描引擎限制,建议镜像单层大小不要超过3GB,否则可能出现扫描失败。
操作步骤
进入容器镜像服务控制台。
点击已开通的企业版实例名称。
左侧导航栏点击 "容器镜像" - "镜像仓库"。
在镜像仓库页面点击目标仓库名,进入镜像版本列表页面。
点击需要扫描的镜像版本右侧的安全扫描按钮,后台会创建一个扫描任务。
等待扫描完成后,可在漏洞栏查看扫描结果。
点击镜像版本 Digest 名称,可在镜像详情页中查看漏洞的具体信息。
