云安全中心的镜像安全扫描功能,可以帮助您检测您的镜像中是否存在镜像漏洞和恶意样本,为您创造安全的镜像运行环境。本文介绍如何进行镜像安全扫描。
前提条件
背景信息
注意 如果您镜像变更过(即镜像摘要发生变化),执行镜像安全扫描时会消耗您购买的容器镜像安全扫描次数。执行镜像安全扫描前,请确保您有足够的容器镜像安全扫描次数。
立即执行镜像安全扫描
如果您需要立即执行镜像安全扫描,可以在镜像安全扫描页面,单击立即扫描后,在一键扫描对话框中选择需要扫描的镜像类型,并单击确定。目前支持选择以下类型的镜像仓库:
- ACR:选择该类型后,云安全中心将检测您在容器镜像服务控制台创建的企业版实例是否存在安全漏洞和恶意样本。
- Harbor:选择该类型后,云安全中心将检测您已接入的私有镜像仓库是否存在安全漏洞和恶意样本。
镜像漏洞扫描预计需要1分钟时间,您可以在1分钟后手动刷新页面,在下方的镜像漏洞列表中查看扫描结果。
配置镜像漏洞扫描周期(定期扫描)
如果需要定期自动扫描您的资产中是否存在镜像漏洞或恶意样本,您可以参照以下步骤配置镜像漏洞扫描周期。
管理镜像仓
您可单击镜像仓页签,查看支持扫描的容器镜像服务企业版实例(镜像库类型为ACR)和已接入的私有镜像仓库(镜像库类型为Harbor)列表。
说明 云安全中心会自动同步您账号下的容器镜像服务企业版实例至镜像仓库列表中,不支持在镜像仓库列表中移除容器镜像服务企业版实例。
- 如果您想扫描不在镜像仓库列表中的私有镜像仓库,您可以单击接入镜像仓接入您的私有镜像仓库。接入私有镜像仓相关参数配置,请参见接入镜像仓库。
- 如果镜像仓库列表中的某个私有镜像仓库无需扫描,您可以单击私有镜像仓库操作列的移除,并在提示信息对话框中单击确定,将其移除。
说明 镜像仓库列表中的两个默认镜像仓(镜像仓类型为acr、defaultAcr)不支持删除。
- 如果是harbor镜像仓,您可以单击操作列的编辑,对镜像扫描的限速进行设置,以提供镜像安全扫描的效率。限速默认为10。例如该harbor镜像仓中有200个镜像,使用默认限速,扫描完成需要20小时。如果将限速改为200,则扫描完成仅需1小时。
配置镜像基线扫描
您可以配置镜像漏洞扫描的同时,对您镜像的基线配置进行检查。