Artifact Hub 的容器镜像扫描和安全报告

2020年CNCF中国云原生调查

10人将获赠CNCF商店$100美元礼券!

你填了吗?

image

问卷链接(https://www.wjx.cn/jq/9714648...


作者:Matt Farina

当试图决定使用哪些制品时,了解一些关于制品安全性的信息是很有用的。使用Artifact Hub,可以看到基于容器的制品的安全扫描,比如基于 Operator Framework OLM 的操作器、一些 Helm Charts、OPA 策略和 Tinkerbell 操作。

OLM Operators

当一个操作器包含一个可以被扫描的镜像时,最后一次扫描的镜像,和访问完整的报告可以在侧边栏中找到。下图为Starboard Operator,由社区操作员提供,显示了一份没有漏洞的报告。

Artifact Hub 的容器镜像扫描和安全报告_第1张图片

注意:SCRATCH 镜像,例如那些没有底层,只包含一个二进制文件的镜像,以及使用最新标记的镜像不会被扫描。

Helm Charts

Helm charts 的情况,就像基于 OLM 的操作器一样,可以选择进行镜像扫描和提供报告。下面的tavern chart 提供了一个示例,说明了一份没有漏洞的报告。与 OLM 操作器一样,它显示一个等级、执行最后一次扫描的时间以及查看完整报告的能力。

Artifact Hub 的容器镜像扫描和安全报告_第2张图片

Helm charts 并不能提供一种简单的方法来获取所有可能在 chart 中使用的镜像。我们不可能知道如何在所有可能的配置中找到所有的图表来检测其中的镜像。为了使 Artifact Hub 能够发现镜像,chart 作者需要在 Chart.yaml 的注释中列出它们。格式示例如下:

annotations:
  artifacthub.io/images: |
    - name: img1
      image: repo/img1:1.0.0
    - name: img2
      image: repo/img2:2.0.0

你可以在Helm 支持的注释文档中了解更多关于列出镜像的信息。

它是如何工作的

安全报告是使用Trivy和定期扫描生成的。扫描仪检查未扫描的镜像。7 天前最后一次扫描的镜像会被重新扫描,即使没有更改包。这将使报告显示新发现的 CVE 的检测。

有些镜像无法被扫描,比如在一个 scratch 容器中使用二进制文件的镜像,或者使用 latest 标记的镜像。在这些情况下,将不显示报告。

你可以在文档中了解有关安全报告的更多信息。

点击阅读网站原文


CNCF (Cloud Native Computing Foundation)成立于2015年12月,隶属于Linux  Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。扫描二维码关注CNCF微信公众号。
image

你可能感兴趣的:(Artifact Hub 的容器镜像扫描和安全报告)