执行镜像安全扫描 - 云安全中心

云安全中心的镜像安全扫描功能，可以帮助您检测您的镜像中是否存在镜像漏洞和恶意样本，为您创造安全的镜像运行环境。本文介绍如何进行镜像安全扫描。

前提条件

镜像上的基础系统软件、中间件、Web应用、数据库服务等，可能会存在挖矿木马、后门程序等安全漏洞，危害您的资产安全。云安全中心支持立即执行镜像安全扫描和配置镜像漏洞扫描周期定期扫描两种镜像漏洞扫描方式。具体操作，请参见立即执行镜像安全扫描、配置镜像漏洞扫描周期（定期扫描）。

注意如果您镜像变更过（即镜像摘要发生变化），执行镜像安全扫描时会消耗您购买的容器镜像安全扫描次数。执行镜像安全扫描前，请确保您有足够的容器镜像安全扫描次数。

如果您需要立即执行镜像安全扫描，可以在镜像安全扫描页面，单击立即扫描后，在一键扫描对话框中选择需要扫描的镜像类型，并单击确定。目前支持选择以下类型的镜像仓库：

镜像漏洞扫描预计需要1分钟时间，您可以在1分钟后手动刷新页面，在下方的镜像漏洞列表中查看扫描结果。

如果需要定期自动扫描您的资产中是否存在镜像漏洞或恶意样本，您可以参照以下步骤配置镜像漏洞扫描周期。

在扫描设置面板，配置相关参数。


配置项	说明
已消耗授权数/总授权	显示您已使用和已购买的容器镜像安全扫描次数。如果您的镜像安全扫描次数即将耗尽，您可以单击扩容按需求购买镜像安全扫描次数。
扫描周期	选择执行镜像安全扫描的周期。
扫描范围	设置需要扫描的镜像范围。具体操作如下：单击扫描范围右侧的管理。在镜像管理对话框中，选择需要扫描的镜像仓库。单击设置。
扫描时间范围	选择镜像漏洞扫描的时间范围。注意扫描时间范围以镜像的更新时间为准。若无更新时间，则以创建时间为准，时间范围决定镜像是否会被扫描。比如扫描时间范围选择为最近7天，那么云安全中心会扫描最近7天以内更新的镜像。镜像更新时间超过7天，则不会被扫描。
漏洞保留时长	设置漏洞扫描结果的保留时长，超过保留时长后漏洞扫描结果会自动删除。

云安全中心将按照您的漏洞扫描配置，对您的镜像进行安全扫描。

您可单击镜像仓页签，查看支持扫描的容器镜像服务企业版实例（镜像库类型为ACR）和已接入的私有镜像仓库（镜像库类型为Harbor）列表。

说明云安全中心会自动同步您账号下的容器镜像服务企业版实例至镜像仓库列表中，不支持在镜像仓库列表中移除容器镜像服务企业版实例。

如果您想扫描不在镜像仓库列表中的私有镜像仓库，您可以单击接入镜像仓接入您的私有镜像仓库。接入私有镜像仓相关参数配置，请参见接入镜像仓库。
如果镜像仓库列表中的某个私有镜像仓库无需扫描，您可以单击私有镜像仓库操作列的移除，并在提示信息对话框中单击确定，将其移除。

说明镜像仓库列表中的两个默认镜像仓（镜像仓类型为acr、defaultAcr）不支持删除。
如果是harbor镜像仓，您可以单击操作列的编辑，对镜像扫描的限速进行设置，以提供镜像安全扫描的效率。限速默认为10。例如该harbor镜像仓中有200个镜像，使用默认限速，扫描完成需要20小时。如果将限速改为200，则扫描完成仅需1小时。

您可以配置镜像漏洞扫描的同时，对您镜像的基线配置进行检查。

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 容器防护 > 镜像安全扫描。
在镜像安全扫描页面的右上角，单击扫描设置。
在扫描配置面板上，单击基线配置管理页签。
单击配置范围右侧的管理。
在基线检查范围面板上，选择您要检查的基线。

注意下方的Access Key泄露检查、密码泄露检查两个配置项中包含的基线，与基线检查范围面板上的Access Key泄漏和密码泄漏这两个基线相同。如果您在基线检查范围面板上已经选择了Access Key泄漏和密码泄漏这两个基线，下方的Access Key泄露检查和密码泄露检查的配置状态开关会自动打开，您无需再重复设置。您也可以通过Access Key泄露检查、密码泄露检查后面的开关快捷开启或关闭这两个基线。
单击下方确定。
配置完成后，云安全中心在执行镜像安全扫描的同时，会对您镜像的基线配置进行检查。

执行完镜像安全扫描后，您可以查看镜像安全扫描结果。更多信息，请参见查看镜像安全扫描结果。