镜像安全扫描功能为容器镜像提供了全面的安全检测和管理能力,可以帮助您发现镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险和敏感数据;针对镜像系统漏洞提供了漏洞修复方案,以便您及时解决安全隐患。通过使用该功能,您可以轻松管理和维护镜像的安全性,让系统和数据远离潜在的安全威胁。
版本限制说明
镜像安全扫描功能为云安全中心增值服务,需单独购买。仅支持高级版、企业版、旗舰版和仅采购增值服务用户购买镜像安全扫描功能。
支持的地域
仅部署在下述地域的容器镜像服务支持使用镜像安全扫描功能。
区域 | 支持的地域 |
中国 |
|
全球(不含中国) |
|
支持扫描的安全镜像特性
检查类型 | 说明 | 处理建议 |
镜像系统漏洞 | 支持检测在镜像中存在的可能导致容器环境安全风险的漏洞,包括镜像中的操作系统漏洞、第三方软件漏洞等。 | 建议您根据云安全中心提供的修复命令和影响说明及时处理镜像系统漏洞。 |
镜像应用漏洞 | 支持检测镜像中存在的应用程序相关的安全漏洞。这些漏洞可能导致未授权访问、代码注入、拒绝服务等安全问题。 | 建议您根据云安全中心提供的修复命令和影响说明及时处理镜像应用漏洞。 |
镜像基线检查 | 用于评估容器镜像是否符合预定义的安全配置规范和最佳实践。 | 建议您根据云安全中心提供的基线检查详细信息及时处理镜像基线风险。 |
镜像恶意样本 | 对容器镜像和容器运行时可能存在的恶意文件、恶意代码和恶意行为进行检测。 | 建议您根据云安全中心提供的恶意文件路径等信息及时处理恶意文件样本。 |
镜像敏感文件 | 支持检测常见敏感文件,包括但不限于:
| 建议您根据云安全中心提供的加固建议评估风险,及时移除敏感信息,重新制作镜像。 |
镜像构建指令风险 | 检测镜像构建指令风险,包括但不限于:
| 建议您根据云安全中心提供的风险说明,及时处理镜像构建指令风险,重新制作镜像。 |
镜像安全扫描检测出的风险中,当前部分镜像系统漏洞支持在线一键修复能力,其它风险项,可参考详情中的修复建议进行手动修复。具体内容,请参见修复镜像扫描风险。
支持的操作系统
操作系统类型 | 支持扫描的操作系统版本 | 支持修复的操作系统版本 |
Red Hat |
| 无 |
CentOS |
|
|
Ubuntu |
|
|
Debian |
|
|
Alpine |
| Alpine 3.9 |
Amazon Linux |
| 无 |
Oracle Linux |
| 无 |
SUSE Linux Enterprise Server |
| 无 |
Fedora Linux |
| 无 |
openSUSE |
| 无 |
使用流程
开通服务:镜像安全扫描功能按照扫描镜像次数计费,需要开通服务并购买足够的容器镜像安全扫描数量。
配置和执行镜像安全扫描:根据实际业务需求,配置镜像扫描范围,选择手动立即扫描或配置扫描周期进行定期扫描。
查看扫描出的镜像风险及修复说明:查看镜像安全扫描结果,并根据修复说明处理相关风险。