すべてのプロダクト
Search

このプロダクト

    Container Registry:コンテナイメージのスキャン

    ドキュメントセンター

    Container Registry:コンテナイメージのスキャン

    最終更新日:Aug 12, 2025

    コンテナイメージに既知の脆弱性が存在するかどうかを確認して修正するには、イメージをスキャンします。

    背景情報

    クラウドネイティブデリバリーチェーンでは、Container Registry は指定されたイメージリポジトリにプッシュされたイメージを自動的にスキャンできます。 デリバリーチェーンにセキュリティポリシーを設定すると、Container Registry はイメージのセキュリティリスクを特定し、高リスクイメージをブロックできます。 セキュリティポリシーで許可されたイメージのみが配信およびデプロイされます。 デリバリーチェーンは、コンテナ化アプリケーションの安全な配信と効率的なデプロイを保証します。 また、イメージスキャンの API 操作をシステムに統合して、イメージスキャンをスケジュールすることもできます。 デリバリーチェーンを使用しない場合は、イメージスキャンページでスキャンルールを作成できます。 その後、Container Registry は、指定されたイメージリポジトリにプッシュされたイメージを自動的にスキャンします。 詳細については、「スキャンルールの作成」をご参照ください。

    イメージのスキャンに必要な時間は、イメージのサイズによって異なります。 通常、イメージのスキャンには 3 分かかります。

    制限

    Trivy スキャンエンジン: Trivy スキャンエンジンの制限により、イメージの単一レイヤーのサイズを 3 GB 以下に設定することをお勧めします。 そうしないと、スキャンが失敗する可能性があります。 3 GB を超えるイメージレイヤーをスキャンする場合は、Security Center スキャンエンジンを使用してイメージをスキャンすることをお勧めします。

    単一イメージのスキャン

    1. Container Registry コンソール にログインします。

    2. 上部のナビゲーションバーで、リージョンを選択します。

    3. 左側のナビゲーションウィンドウで、[インスタンス] をクリックします。

    4. [インスタンス] ページで、管理する Enterprise Edition インスタンスをクリックします。

    5. Enterprise Edition インスタンスの管理ページの左側のナビゲーションウィンドウで、[リポジトリ] > [リポジトリ] を選択します。

    6. [リポジトリ] ページで、管理するリポジトリを見つけ、[アクション] 列の [管理] をクリックします。

    7. 左側のナビゲーションウィンドウで、[タグ] をクリックします。 スキャンするイメージタグを見つけ、[アクション] 列の [セキュリティスキャン] をクリックします。

    8. [セキュリティスキャン] ページで、[スキャン] をクリックします。

      イメージがスキャンされた後、[セキュリティスキャン] ページで、検出された脆弱性の詳細を含むスキャン結果を表示できます。脆弱性スキャン結果の詳細については、「イメージスキャン結果」をご参照ください。

    イメージのグループを一度にスキャンする

    Trivy スキャンエンジンまたは Security Center スキャンエンジンを使用して、イメージのグループを一度にスキャンできます。

    • Trivy スキャンエンジン: システムの脆弱性とアプリケーションの脆弱性の検出、および脆弱性ライブラリの毎日の更新をサポートするオープンソースのスキャンエンジン。 Trivy スキャンエンジンでは、数回クリックするだけでシステムの脆弱性を修正することはできません。

      • システムの脆弱性: Trivy スキャンエンジンを使用して、コンテナイメージのシステムの脆弱性をスキャンできます。 これにより、安全で信頼性の高いコンテナイメージが保証されます。

      • アプリケーションの脆弱性: Trivy スキャンエンジンを使用して、コンテナイメージとミドルウェアのアプリケーションの脆弱性をスキャンし、アプリケーションの脆弱性を見つけて修正できます。 これにより、安全なイメージランタイム環境が保証されます。

      • 脆弱性ライブラリの毎日の更新: Trivy スキャンエンジンを使用して、毎日更新される脆弱性ライブラリから最新の脆弱性情報を取得し、できるだけ早く対応するセキュリティ対策を講じることができます。

    • Security Center スキャンエンジン: Alibaba Cloud によって開発されたスキャンエンジン。 このエンジンは、システムの脆弱性、アプリケーションの脆弱性、ベースラインリスク、および悪意のあるサンプルを検出できます。 Security Center スキャンエンジンを使用すると、数回クリックするだけでシステムの脆弱性を修正できます。

      • システムの脆弱性: Security Center スキャンエンジンを使用して、コンテナイメージのシステムの脆弱性をスキャンし、数回クリックするだけでシステムの脆弱性を修正できます。 これにより、安全で信頼性の高いコンテナイメージが保証されます。

      • アプリケーションの脆弱性: Security Center スキャンエンジンを使用して、コンテナイメージとミドルウェアのアプリケーションの脆弱性をスキャンし、アプリケーションの脆弱性を見つけて修正できます。 これにより、安全なイメージランタイム環境が保証されます。

      • ベースラインリスク: Security Center スキャンエンジンを使用して、コンテナイメージのベースラインリスクをスキャンし、リスクを見つけて修正できます。

      • 悪意のあるサンプル: Security Center スキャンエンジンを使用して、コンテナ内の悪意のあるサンプルを検出し、セキュリティリスクを評価し、セキュリティの脅威を見つけて削除できます。 この方法で、安全なコンテナを持つことができます。

    1. Container Registry Enterprise Edition インスタンスの仮想プライベートクラウド (VPC) を構成します。 詳細については、「VPC ACL の構成」をご参照ください。

      Container Registry が Container Registry Enterprise Edition インスタンスのイメージのグループを一度にスキャンする前に、インスタンスの VPC を構成する必要があります。

      Security Center スキャンエンジンを初めて使用する場合は、Security Center にアクセスする必要があります。 AliyunServiceRoleForSas サービスリンクロールを作成するように求められます。

      説明

      Container Registry Enterprise Edition インスタンスの VPC を既に構成している場合は、この手順をスキップしてください。

    2. Container Registry コンソール にログインします。

    3. 上部のナビゲーションバーで、リージョンを選択します。

    4. [インスタンス] ページで、管理する Enterprise Edition インスタンスをクリックします。

    5. Container Registry Enterprise Edition インスタンスの管理ページの左側のナビゲーションウィンドウで、[セキュリティと信頼] > [イメージスキャン] を選択します。

    6. スキャンエンジンを選択します。

      • [Trivy スキャンエンジン] を使用する場合は、次の点に注意してください。

        • Security Center スキャンエンジンを購入していない場合、[イメージスキャン] ページの右上に Trivy スキャンエンジンが自動的に表示されます。

        • Security Center が提供するイメージスキャンサービスを購入済みの場合、[イメージスキャン] ページの右上に Security Center スキャンエンジンが自動的に表示されます。 [Security Center スキャンエンジン] の右側にある [切り替え] > [Trivy スキャンエンジン] を選択し、[ヒント] メッセージの [OK] をクリックします。

      • [Security Center スキャンエンジン] を使用する場合は、以下の項目にご注意ください。

        Security Center スキャンエンジンを購入済みの場合、[イメージスキャン] ページに自動的に表示されます。 他の操作を実行する必要はありません。 Security Center スキャンエンジンを購入していない場合は、次の操作を実行する必要があります。

        1. Security Center に、Container Registry が提供する API 操作を呼び出す権限を付与します。

          1. ここ をクリックして、クラウドリソースアクセス承認ページに移動します。

          2. [クラウドリソースアクセス承認] ページで、[承認に同意する] をクリックします。

        2. [スキャン情報] セクションの [イメージスキャン] ページで、[今すぐ Security Center スキャンエンジンをアップグレードする] をクリックします。

        3. [セキュリティスキャン] パラメーターを [Security Center スキャンエンジン] に設定し、要件に基づいて他のパラメーターを構成し、[今すぐ購入] をクリックして、注文の支払いを行います。

          [イメージスキャン] ページに戻ります。 ページの右上に、Security Center スキャンエンジンが自動的に表示されます。

          説明

          Security Center スキャンエンジンの購入後にイメージレプリケーション機能を有効にする場合は、[イメージスキャン] ページの [スキャン情報] セクションで [設定] をクリックし、[ヒント] ダイアログボックスで [同期] を選択し、[OK] をクリックします。 イメージレプリケーション機能を有効にすると、Container Registry は、インスタンスが削除されたイベント、イメージがプッシュまたはプルされたイベント、およびイメージリポジトリが削除されたイベントで Security Center に通知を自動的に送信します。

    7. スキャンルールを作成します。

      1. [イメージスキャン] ページの [スキャンルール] セクションで、[ルールの作成] をクリックします。

      2. ルールの作成ウィザードの [スキャンルール] ステップで、[ルール名] パラメーターの値を入力し、[スコープ] を設定して、[次へ] をクリックします。

        名前空間またはリポジトリごとにイメージをスキャンするようにエンジンを構成できます。

        • 名前空間ごとにスキャンする: [スコープ] パラメーターを [名前空間] に設定し、イメージタグフィルターの正規ルールを入力します。

        • リポジトリごとにスキャンする: [スコープ] パラメーターを [リポジトリ] に設定します。 [名前空間] ドロップダウンリストから名前空間を選択し、[リポジトリ] ドロップダウンリストからリポジトリを選択し、イメージタグフィルターの正規ルールを入力します。

      3. オプション: [イベント通知] ステップで、通知方法を構成します。

        通知方法として DingTalk、HTTP、または HTTPS を選択できます。

        • DingTalk で通知を送信する: [通知方法][DingTalk] に設定し、DingTalk チャットボットの webhook URL とシークレットトークンを入力します。

        • HTTP で通知を送信する: [通知方法][HTTP] に設定し、HTTP URL を入力します。

        • HTTPS で通知を送信する: [通知方法][HTTPS] に設定し、HTTPS URL を入力します。

        イメージがスキャンされた後、Container Registry は DingTalk、HTTP、または HTTPS メソッドを使用して通知を送信します。

      4. [作成] をクリックします。

    8. イメージを手動でスキャンします。

      説明

      スキャンルールが作成された後、イメージを手動でスキャンするか、イメージを自動的にスキャンするように Container Registry を構成できます。 自動スキャンモードでは、イメージがビルドされた後、または指定されたリポジトリにプッシュされた後、Container Registry はできるだけ早くイメージを自動的にスキャンします。

      1. [イメージスキャン] ページで、スキャンルールを見つけ、[アクション] 列の [スキャン] をクリックします。

      2. 表示されるメッセージで、[OK] をクリックします。

        イメージスキャンページの [タスクリスト] セクションで、タスクの [ステータス] 列に [完了] と表示されている場合、イメージはスキャンされています。

    9. スキャン結果を表示します。

      1. [イメージスキャン] ページの [タスクリスト] セクションで、スキャン結果を表示するスキャスクを見つけ、[アクション] 列の [タスクの表示] をクリックします。

      2. [タスクの詳細] ページで、[アクション] 列の [詳細の表示] をクリックします。

        [セキュリティスキャン] ページで、検出された脆弱性の詳細を含むスキャン結果を表示できます。

        説明

        スキャンルールで複数のイメージを構成すると、[タスクの詳細] ページに複数のスキャスクが表示されます。 各タスクのイメージスキャン結果を表示できます。

    イメージスキャン結果

    Trivy スキャンエンジンのスキャン結果を表示する

    [セキュリティスキャン] ページで、検出されたシステムとアプリケーションの脆弱性を表示できます。 デフォルトでは、スキャン結果は次の脆弱性レベルに基づいてソートされます: [不明][低][中][高]单个扫描

    説明

    Trivy スキャンエンジンの制限により、一部のシステムとアプリケーションの脆弱性の場所のみを特定できます。

    Security Center スキャンエンジンのスキャン結果を表示する

    検出された脆弱性を表示するには、[セキュリティスキャン] ページの [システムの脆弱性][アプリケーションの脆弱性][ベースラインリスク]、または [悪意のあるサンプル] タブをクリックします。 デフォルトでは、スキャン結果は次の脆弱性レベルに基づいてソートされます: [不明][低][中][高]

    云安全扫描结果

    システムの脆弱性を修正する

    Security Center スキャンエンジンを使用してイメージをスキャンしている場合は、数回クリックするだけでシステムの脆弱性を修正できます。 次の操作を実行します。

    [セキュリティスキャン] ページで、修正する脆弱性を見つけ、ページの下部にある [修正] をクリックします。 [修正] ダイアログボックスで、修正されたイメージが元のイメージを上書きするかどうかを設定し、[今すぐ修正] をクリックします。

    10 分後、[セキュリティスキャン] ページの左上隅にある 返回 アイコンをクリックします。 [タグ] ページで、名前が _fixd で終わるイメージが表示されている場合、そのイメージは修正済みです。

    説明

    イメージが修正されると、_fixd サフィックスがイメージの元の名前の末尾に追加されます。

    参照

    API 操作を呼び出してイメージタグのスキャンステータスをクエリする方法については、「GetRepoTagScanStatus」をご参照ください。