跳转至

镜像扫描

镜像被下载后可以直接使用,为用户提供了很多方便,但是不一定安全,可能被恶意植入后门。用户需要扫描下载的镜像,获知镜像安全信息。

在 (DevOps) CI/CD 过程中,镜像被直接推送到镜像仓库,无法保证镜像的安全性,存在持续安全集成自动扫描的需求。

安全扫描是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然,建议定时/手动扫描镜像。

(投产)容器到生产环境之后,生产环境对容器的安全性要求较高,需要容器的安全性得到保证,因此使用镜像运行容器前,一定要对镜像进行扫描,从而提高安全性。

最后扫描结果应提供更多有关纠正措施的指导。当用户收到容器镜像受到漏洞困扰的坏消息时,需要为自己找出修复方法,漏洞来自哪里?可以做些什么来解决问题?

镜像扫描特性

目前 DCE 5.0 的镜像仓库模块支持以下几种扫描镜像:

  • 托管的 Harbor 仓库支持 Trivy 扫描。
  • 原生的 Harbor 仓库支持 Clair 和 Trivy 扫描,具体取决于用户安装了什么插件。

用户在扫描镜像索引时,会同步扫描被索引的所有镜像,扫描结果为被索引镜像的扫描结果之和。

手动扫描镜像

对于关联和集成的仓库,将出现在镜像列表中。您可以按需手动扫描某些镜像。

  1. 进入镜像仓库的镜像列表中,选择一个实例和镜像空间,点击某一个镜像。

    镜像列表

  2. 在镜像详情列表中,点击列表右侧的 ,在弹出菜单中选择扫描

    扫描

  3. 系统开始扫描镜像,通常状态依次为排队中扫描中扫描完成

    排队中

    扫描中

    扫描完成

    扫描状态包括:

    • 未扫描:镜像从未被扫描过。
    • 不支持:此镜像不支持扫描。
    • 排队中:扫描任务已安排但尚未运行。
    • 扫描中:扫描任务正在进行中,并显示进度条。
    • 查看日志:扫描任务未能完成。点击查看日志以查看相关日志。
    • 扫描完成:扫描任务成功完成。
  4. 扫描完成后,将光标悬浮在扫描完成的比例条上,可以查看扫描详情。

    扫描完成

扫描原生 Harbor 镜像

集成的原生 Harbor 仓库,支持按 Clair 或 Trivy 进行扫描。

具体操作步骤为:

  1. 以平台管理员登录镜像仓库,点击左侧底部的仓库集成

    仓库集成

  2. 在集成的仓库列表中,光标悬浮于某个仓库上,点击原生 Harbor 图标。

    仓库集成

  3. 跳转到原生 Harbor,参阅扫描 Harbor 镜像

评论