鏡像安全掃描功能為容器鏡像提供了全面的安全檢測和管理能力,可以協助您發現鏡像中存在的高危系統漏洞、應用漏洞、惡意樣本、配置風險和敏感性資料;針對鏡像系統漏洞提供了漏洞修複方案,以便您及時解決安全隱患。通過使用該功能,您可以輕鬆管理和維護鏡像的安全性,讓系統和資料遠離潛在的安全威脅。
版本限制說明
鏡像安全掃描功能為Security Center增值服務,需單獨購買。僅支援進階版、企業版、旗艦版和僅採購增值服務使用者購買鏡像安全掃描功能。
支援的地區
僅部署在下述地區的Container Registry支援使用鏡像安全掃描功能。
地區 | 支援的地區 |
中國 |
|
全球(不含中國) |
|
支援掃描的安全鏡像特性
檢查類型 | 說明 | 處理建議 |
鏡像系統漏洞 | 支援檢測在鏡像中存在的可能導致容器環境安全風險的漏洞,包括鏡像中的作業系統漏洞、第三方軟體漏洞等。 | 建議您根據云資訊安全中心提供的修複命令和影響說明及時處理鏡像系統漏洞。 |
鏡像應用漏洞 | 支援檢測鏡像中存在的應用程式相關的安全性漏洞。這些漏洞可能導致未授權訪問、代碼注入、拒絕服務等安全問題。 | 建議您根據云資訊安全中心提供的修複命令和影響說明及時處理鏡像應用漏洞。 |
鏡像基準檢查 | 用於評估容器鏡像是否符合預定義的安全配置規範和最佳實務。 | 建議您根據云資訊安全中心提供的基準檢查詳細資料及時處理鏡像基準風險。 |
鏡像惡意樣本 | 對容器鏡像和容器運行時可能存在的惡意檔案、惡意代碼和惡意行為進行檢測。 | 建議您根據云資訊安全中心提供的惡意檔案路徑等資訊及時處理惡意檔案樣本。 |
鏡像敏感檔案 | 支援檢測常見敏感檔案,包括但不限於:
| 建議您根據云資訊安全中心提供的加固建議評估風險,及時移除敏感資訊,重新製作鏡像。 |
鏡像構建指令風險 | 檢測鏡像構建指令風險,包括但不限於:
| 建議您根據云資訊安全中心提供的風險說明,及時處理鏡像構建指令風險,重新製作鏡像。 |
鏡像安全掃描檢測出的風險中,當前部分鏡像系統漏洞支援線上一鍵修複能力,其它風險項,可參考詳情中的修複建議進行手動修複。具體內容,請參見修複鏡像掃描風險。
支援的作業系統
作業系統類型 | 支援掃描的作業系統版本 | 支援修複的作業系統版本 |
Red Hat |
| 無 |
CentOS |
|
|
Ubuntu |
|
|
Debian |
|
|
Alpine |
| Alpine 3.9 |
Amazon Linux |
| 無 |
Oracle Linux |
| 無 |
SUSE Linux Enterprise Server |
| 無 |
Fedora Linux |
| 無 |
openSUSE |
| 無 |
使用流程
開通服務:鏡像安全掃描功能按照掃描鏡像次數計費,需要開通服務併購買足夠的容器鏡像安全掃描數量。
配置和執行鏡像安全掃描:根據實際業務需求,配置鏡像掃描範圍,選擇手動立即掃描或配置掃描周期進行定期掃描。
查看掃描出的鏡像風險及修複說明:查看鏡像安全掃描結果,並根據修複說明處理相關風險。