检查图像中的漏洞
Alauda Container Security for Kubernetes 使您能够使用内置的 Scanner V4 分析容器图像中的漏洞。该扫描器检查图像层,识别软件包,并将其与来自 NVD、OSV 和特定操作系统源的漏洞数据库进行匹配。
当检测到漏洞时,Alauda Container Security 会:
- 在 漏洞管理 视图中显示它们
- 对其进行排名并突出显示以进行风险评估
- 将其与启用的 安全策略 进行检查
扫描器通过检查特定文件来识别已安装的组件。如果这些文件缺失,某些漏洞可能无法被检测到。所需文件包括:
目录
Scanner V4 概述
Scanner V4 增强了对语言和操作系统特定组件的扫描。Scanner V4 默认启用,并且是所有漏洞扫描场景所必需的。
扫描器工作流程
工作流程步骤
- 中心请求 Scanner V4 索引器分析图像。
- 索引器提取元数据并下载图层。
- 索引器生成索引报告。
- 匹配器将图像与漏洞进行匹配并生成报告。
常见扫描器警告消息
支持的平台和格式
支持的 Linux 发行版
INFO
某些较旧的 Debian/Ubuntu 版本未由供应商更新。Fedora 不支持操作系统 CVE。
支持的软件包格式
支持的编程语言
支持的容器镜像层格式
图像扫描和观察列表
Alauda Container Security 每 4 小时扫描所有活动图像。您还可以通过 观察 设置启用对非活动图像的自动扫描(从版本 3.0.57 开始)。
步骤:
- 在门户中,转到 漏洞管理 > 结果。
- 点击 更多视图 > 非活动图像。
- 点击 管理观察图像,根据需要添加或删除图像。
INFO
已删除图像的数据将在 系统配置 中保留配置的时间段内。
漏洞数据更新
中心每 5 分钟从 https://definitions.stackrox.io 获取漏洞定义。