All Products
Search

This Product

    Container Registry:Pemindaian gambar kontainer

    Document Center

    Container Registry:Pemindaian gambar kontainer

    Last Updated:Aug 12, 2025

    Untuk mengidentifikasi dan memperbaiki semua kerentanan yang diketahui dalam sebuah gambar kontainer, Anda dapat melakukan pemindaian pada gambar tersebut.

    Informasi latar belakang

    Dalam rantai pengiriman cloud-native, Container Registry secara otomatis memindai gambar yang didorong ke repositori tertentu. Jika Anda menetapkan kebijakan keamanan untuk rantai pengiriman, Container Registry dapat mengidentifikasi risiko keamanan dari gambar dan memblokir gambar berisiko tinggi. Hanya gambar yang diizinkan oleh kebijakan keamanan yang didistribusikan dan diterapkan. Rantai pengiriman ini memastikan pengiriman yang aman dan penerapan efisien dari aplikasi berbasis kontainer. Anda juga dapat mengintegrasikan Operasi API untuk pemindaian gambar ke dalam sistem Anda guna menjadwalkan pemindaian gambar. Jika tidak menggunakan rantai pengiriman, Anda dapat membuat aturan pemindaian pada halaman Pemindaian Gambar. Setelah itu, Container Registry akan secara otomatis memindai gambar yang didorong ke repositori tertentu. Untuk informasi lebih lanjut, lihat Buat Aturan Pemindaian.

    Waktu yang diperlukan untuk memindai gambar bervariasi tergantung pada ukurannya. Biasanya, dibutuhkan sekitar 3 menit untuk memindai satu gambar.

    Batasan

    Mesin Pemindaian Trivy: Karena batasan mesin pemindaian Trivy, kami merekomendasikan agar ukuran satu lapisan gambar tidak melebihi 3 GB. Jika tidak, pemindaian mungkin gagal. Untuk memindai lapisan gambar lebih besar dari 3 GB, gunakan mesin pemindaian Security Center.

    Pemindaian gambar tunggal

    1. Masuk ke Konsol Container Registry.

    2. Di bilah navigasi atas, pilih Wilayah.

    3. Di panel navigasi kiri, klik Instances.

    4. Di halaman Instances, klik instans Edisi Perusahaan yang ingin Anda kelola.

    5. Di panel navigasi kiri halaman manajemen instans Edisi Perusahaan, pilih Repository > Repositories.

    6. Di halaman Repositories, temukan repositori yang ingin Anda kelola dan klik Manage di kolom Actions.

    7. Di panel navigasi kiri, klik Tags. Temukan tag gambar yang ingin Anda pindai dan klik Security Scan di kolom Actions.

    8. Di halaman Pemindaian Keamanan, klik Scan.

      Setelah gambar dipindai, Anda dapat melihat hasil pemindaian termasuk detail kerentanan yang terdeteksi di halaman Security Scan. Untuk informasi lebih lanjut tentang hasil pemindaian kerentanan, lihat Hasil Pemindaian Gambar.

    Pemindaian sekelompok gambar sekaligus

    Anda dapat menggunakan Mesin Pemindaian Trivy atau Mesin Pemindaian Security Center untuk memindai sekelompok gambar sekaligus.

    • Mesin Pemindaian Trivy: Mesin sumber terbuka yang mendukung deteksi kerentanan sistem dan aplikasi serta pembaruan harian perpustakaan kerentanan. Namun, mesin ini tidak memungkinkan Anda memperbaiki kerentanan sistem hanya dengan beberapa klik.

      • Kerentanan Sistem: Gunakan Mesin Pemindaian Trivy untuk memindai kerentanan sistem dalam gambar kontainer, memastikan gambar yang aman dan andal.

      • Kerentanan Aplikasi: Gunakan Mesin Pemindaian Trivy untuk memindai kerentanan aplikasi dalam gambar kontainer dan middleware, serta menemukan dan memperbaiki kerentanan aplikasi. Ini memastikan lingkungan runtime yang aman.

      • Pembaruan Harian Perpustakaan Kerentanan: Gunakan Mesin Pemindaian Trivy untuk mendapatkan informasi kerentanan terbaru dari perpustakaan kerentanan yang diperbarui setiap hari dan ambil langkah-langkah keamanan yang sesuai secepat mungkin.

    • Mesin Pemindaian Security Center: Mesin yang dikembangkan oleh Alibaba Cloud. Mesin ini dapat mendeteksi kerentanan sistem, kerentanan aplikasi, risiko dasar, dan sampel jahat. Memungkinkan Anda memperbaiki kerentanan sistem hanya dengan beberapa klik.

      • Kerentanan Sistem: Gunakan Mesin Pemindaian Security Center untuk memindai kerentanan sistem dalam gambar kontainer dan memperbaikinya hanya dengan beberapa klik. Ini memastikan gambar yang aman dan andal.

      • Kerentanan Aplikasi: Gunakan Mesin Pemindaian Security Center untuk memindai kerentanan aplikasi dalam gambar kontainer dan middleware, serta menemukan dan memperbaiki kerentanan aplikasi. Ini memastikan lingkungan runtime yang aman.

      • Risiko Dasar: Gunakan Mesin Pemindaian Security Center untuk memindai risiko dasar dalam gambar kontainer, kemudian temukan dan perbaiki risiko tersebut.

      • Sampel Jahat: Gunakan Mesin Pemindaian Security Center untuk mendeteksi sampel jahat dalam kontainer, evaluasi risiko keamanan, lalu temukan dan hapus ancaman keamanan. Dengan cara ini, Anda bisa memiliki kontainer yang aman.

    1. Konfigurasikan virtual private cloud (VPC) untuk instans Container Registry Edisi Perusahaan Anda. Untuk informasi lebih lanjut, lihat Konfigurasi ACL VPC.

      Sebelum Container Registry memindai sekelompok gambar sekaligus untuk instans Container Registry Edisi Perusahaan Anda, Anda harus mengonfigurasi VPC untuk instans tersebut.

      Pertama kali menggunakan Mesin Pemindaian Security Center, akses Security Center. Anda akan diminta untuk membuat peran terkait layanan AliyunServiceRoleForSas.

      Catatan

      Jika Anda telah mengonfigurasi VPC untuk instans Container Registry Edisi Perusahaan Anda, lewati langkah ini.

    2. Masuk ke Konsol Container Registry.

    3. Di bilah navigasi atas, pilih Wilayah.

    4. Di halaman Instances, klik instans Edisi Perusahaan yang ingin Anda kelola.

    5. Di panel navigasi kiri halaman manajemen instans Container Registry Edisi Perusahaan, pilih Security and Trust > Image Scanning.

    6. Pilih mesin pemindaian.

      • Jika ingin menggunakan Trivy Scan Engine, perhatikan item-item berikut:

        • Jika belum membeli Mesin Pemindaian Security Center, Mesin Pemindaian Trivy secara otomatis ditampilkan di pojok kanan atas halaman Image Scanning.

        • Jika telah membeli layanan pemindaian gambar yang disediakan oleh Security Center, Mesin Pemindaian Security Center secara otomatis ditampilkan di pojok kanan atas halaman Image Scanning. Pilih Switch > Trivy Scan Engine di sebelah kanan Security Center Scan Engine, lalu klik OK di pesan Tips.

      • Jika ingin menggunakan Security Center scan engine, perhatikan item-item berikut:

        Jika telah membeli Mesin Pemindaian Security Center, mesin tersebut secara otomatis ditampilkan di halaman Image Scanning. Anda tidak perlu melakukan operasi lain. Jika belum membeli Mesin Pemindaian Security Center, lakukan operasi berikut:

        1. Berikan izin kepada Security Center untuk memanggil Operasi API yang disediakan oleh Container Registry.

          1. Klik di sini untuk pergi ke halaman Otorisasi Akses Sumber Daya Cloud.

          2. Di halaman Cloud Resource Access Authorization, klik Agree to Authorization.

        2. Di bagian Scan Information pada halaman Image Scanning, klik Upgrade Security Center Scan Engine Now.

        3. Tetapkan parameter Security Scan ke Security Center Scan Engine, konfigurasikan parameter lainnya sesuai kebutuhan Anda, klik Buy Now, lalu bayar Pesanan.

          Kembali ke halaman Image Scanning. Di pojok kanan atas halaman, Mesin Pemindaian Security Center secara otomatis ditampilkan.

          Catatan

          Jika ingin mengaktifkan fitur replikasi gambar setelah membeli Mesin Pemindaian Security Center, klik Settings di bagian Scan Information di halaman Image Scanning, pilih Sync di kotak dialog Tips, lalu klik OK. Setelah mengaktifkan fitur replikasi gambar, Container Registry secara otomatis mengirimkan notifikasi ke Security Center dalam peristiwa bahwa instans dihapus, gambar didorong atau ditarik, dan repositori gambar dihapus.

    7. Buat aturan pemindaian.

      1. Di bagian Aturan Pemindaian halaman Image Scanning, klik Create Rule.

      2. Di langkah Scan Rules wizard Buat Aturan, masukkan nilai untuk parameter Rule Name, tetapkan Scope, lalu klik Next.

        Anda dapat mengonfigurasi mesin untuk memindai gambar berdasarkan namespace atau repositori:

        • Pemindaian berdasarkan namespace: Tetapkan parameter Lingkup ke namespace dan masukkan aturan reguler untuk filter tag gambar.

        • Pemindaian berdasarkan repositori: Tetapkan parameter Lingkup ke Repositori. Pilih namespace dari daftar drop-down Namespace dan repositori dari daftar drop-down Repository, dan masukkan aturan reguler untuk filter tag gambar.

      3. Opsional: Di langkah Event Notification, konfigurasikan metode notifikasi.

        Anda dapat memilih DingTalk, HTTP, atau HTTPS sebagai metode notifikasi.

        • Kirim notifikasi melalui DingTalk: Tetapkan Notification Method ke DingTalk dan masukkan URL webhook dan token rahasia chatbot DingTalk.

        • Kirim notifikasi melalui HTTP: Tetapkan Notification Method ke HTTP dan masukkan URL HTTP.

        • Kirim notifikasi melalui HTTPS: Tetapkan Notification Method ke HTTPS dan masukkan URL HTTPS.

        Setelah gambar dipindai, Container Registry mengirimkan notifikasi menggunakan metode DingTalk, HTTP, atau HTTPS.

      4. Klik Create.

    8. Pindai gambar secara manual.

      Catatan

      Setelah aturan pemindaian dibuat, Anda dapat memindai gambar secara manual atau mengonfigurasi Container Registry untuk memindai gambar secara otomatis. Dalam mode pemindaian otomatis, Container Registry secara otomatis memindai gambar secepat mungkin setelah gambar dibangun atau didorong ke repositori tertentu.

      1. Di halaman Image Scanning, temukan aturan pemindaian dan klik Scan di kolom Actions.

      2. Di pesan yang muncul, klik OK.

        Di bagian Task List halaman Pemindaian Gambar, jika Completed ditampilkan di kolom Status tugas, gambar telah dipindai.

    9. Lihat hasil pemindaian.

      1. Di bagian Task List halaman Image Scanning, temukan tugas pemindaian yang ingin Anda lihat hasilnya dan klik View Task di kolom Actions.

      2. Di halaman Task Details, klik View Details di kolom Actions.

        Anda dapat melihat hasil pemindaian termasuk detail kerentanan yang terdeteksi di halaman Security Scan.

        Catatan

        Jika Anda mengonfigurasi beberapa gambar dalam aturan pemindaian, beberapa tugas pemindaian ditampilkan di halaman Task Details. Anda dapat melihat hasil pemindaian gambar dari setiap tugas.

    Hasil pemindaian gambar

    View the scan results of the Trivy scan engine

    Di halaman Security Scan, Anda dapat melihat kerentanan sistem dan aplikasi yang terdeteksi. Secara default, hasil pemindaian diurutkan berdasarkan tingkat kerentanan berikut: Unknown, Low, Medium, dan High.Pemindaian Tunggal

    Catatan

    Karena pembatasan Mesin Pemindaian Trivy, hanya lokasi beberapa kerentanan sistem dan aplikasi yang dapat diidentifikasi.

    View the scan results of the Security Center scan engine

    Untuk melihat kerentanan yang terdeteksi, klik tab System Vulnerabilities, Application Vulnerabilities, Baseline Risks, atau Malicious Samples di halaman Security Scan. Secara default, hasil pemindaian diurutkan berdasarkan tingkat kerentanan berikut: Unknown, Low, Medium, dan High.

    Hasil Pemindaian Keamanan Cloud

    Perbaiki kerentanan sistem

    Jika menggunakan Mesin Pemindaian Security Center untuk memindai gambar, Anda dapat memperbaiki kerentanan sistem hanya dengan beberapa klik. Lakukan operasi berikut:

    Di halaman Security Scan, temukan kerentanan yang ingin diperbaiki dan klik Fix di bagian bawah halaman. Di kotak dialog Fix, tetapkan apakah gambar yang diperbaiki menimpa gambar asli dan klik Fix Now.

    Setelah 10 menit, klik ikon Kembali di pojok kiri atas halaman Security Scan. Di halaman Tags, jika gambar yang namanya diakhiri dengan _fixd ditampilkan, gambar telah diperbaiki.

    Catatan

    Setelah gambar diperbaiki, akhiran _fixd ditambahkan ke nama asli gambar.

    Referensi

    Untuk informasi tentang cara meminta status pemindaian tag gambar dengan memanggil Operasi API, lihat GetRepoTagScanStatus.