鏡像版本安全掃描 - Container Registry

若您期望識別且修複鏡像中所有已知的漏洞資訊，可以通過容器鏡像安全掃描，對漏洞資訊進行評估和修複。

背景資訊

在雲原生交付鏈，ACR能在推送完成後自動進行安全掃描。若您設定過安全阻斷策略，其會識別鏡像的安全風險並阻斷高風險的容器鏡像。通過安全性原則的容器鏡像才會進行交付鏈後續的分發和部署環節。交付鏈能保證容器應用的安全交付和高效部署。您也可以整合安全掃描的相關API，實現自訂周期的鏡像安全掃描功能。如果未使用交付鏈，您可以在鏡像掃描頁面建立掃描規則實現鏡像推送自動觸發掃描。具體操作，請參見建立掃描規則。

安全掃描的時間長度主要取決於鏡像的大小。一般情況下掃描一個鏡像可以在三分鐘之內完成。

使用限制

Trivy引擎：受掃描引擎限制，建議鏡像單層大小不要超過3GB，否則可能出現掃描失敗，若您需要掃描超過3GB的鏡像，建議使用雲安全引擎掃描。

單鏡像掃描

登入Container Registry控制台。
在頂部功能表列，選擇所需地區。
在左側導覽列，選擇實例列表。
在實例列表頁面單擊目標企業版執行個體。
在企業版執行個體管理頁面選擇倉庫管理 > 镜像仓库。
在镜像仓库頁面單擊目標倉庫操作列的管理。
在鏡像倉庫詳情頁面左側導覽列中選擇镜像版本，單擊目標鏡像版本操作列的安全扫描。
在安全扫描頁面單擊立即扫描。

待掃描完成後，您可以在安全扫描頁面查看掃描結果，包括安全性漏洞詳細資料。關於掃描結果的詳細介紹，請參見鏡像掃描結果。

批量鏡像掃描

批量鏡像掃描功能支援使用Trivy掃描引擎和雲安全掃描引擎，區別如下：

Trivy掃描引擎：開源掃描引擎，支援檢測系統漏洞和應用漏洞，同時漏洞庫每日更新，不支援一鍵修複系統漏洞功能。
- 系統漏洞：提供鏡像系統漏洞掃描，為您提供安全可信的鏡像。
- 應用漏洞：提供鏡像應用漏洞掃描功能，為您掃描容器相關中介軟體上的漏洞，協助您找到漏洞位置，便於您根據漏洞位置修複應用漏洞，創造安全的鏡像運行環境。
- 漏洞庫每日更新：每日更新漏洞庫，確保您能夠擷取到最新的漏洞資訊，並及時採取相應的安全措施。
雲安全掃描引擎：阿里雲自研的掃描引擎，支援檢測系統漏洞、應用漏洞、基準檢查和惡意樣本，支援一鍵修複系統漏洞功能。
- 系統漏洞：提供鏡像系統漏洞掃描及一鍵修複能力，為您提供安全可信的鏡像。
- 應用漏洞：提供鏡像應用漏洞掃描功能，為您掃描容器相關中介軟體上的漏洞，協助您找到漏洞位置，便於您根據漏洞位置修複應用漏洞，創造安全的鏡像運行環境。
- 基準檢查：提供鏡像安全基準檢查功能，為您掃描容器資產中存在的基準安全風險，協助您找到存在的基準安全風險位置，便於您根據位置修複基準安全風險。
- 惡意樣本：提供容器惡意樣本的檢測能力，為您展示資產中存在的容器安全威脅，協助您找到存在惡意樣本的位置，便於您根據位置修複惡意樣本，大幅降低您使用容器的安全風險。

為企業版執行個體配置VPC網路。具體操作，請參見配置專用網路的存取控制。

您需要為企業版執行個體配置VPC網路，批量掃描鏡像功能需要使用該VPC網路掃描鏡像。

首次使用雲安全掃描引擎需要訪問雲安全後台，首次訪問會提示您建立AliyunServiceRoleForSas系統角色。

說明
如果您已為企業版執行個體配置VPC網路，無需執行此步驟。
登入Container Registry控制台。
在頂部功能表列，選擇所需地區。
在實例列表頁面單擊目標企業版執行個體。
在企業版執行個體管理頁面選擇安全可信 > 镜像扫描。
選擇掃描引擎。
- 設定掃描引擎為Trivy扫描引擎。
  - 如果您之前未購買雲安全掃描引擎，則镜像扫描頁面右上方預設使用Trivy掃描引擎。
  - 如果您已購買Security Center裡的鏡像掃描服務，Trivy掃描引擎就會切換成雲安全掃描引擎，您需要在镜像扫描頁面右上方單擊云安全扫描引擎右側的切换，單擊Trivy扫描引擎，在提示對話方塊單擊確定。
- 設定掃描引擎為云安全扫描引擎
  
  如果您已購買雲安全掃描引擎，則镜像扫描頁面預設使用雲安全引擎，您無需進行其他動作。如果您未購買雲安全掃描引擎，您需要進行以下操作：
  1. 授予Security Center調用ACR的OpenAPI許可權。
    1. 單擊雲資源訪問授權。
    2. 在云资源访问授权頁面單擊同意授权。
  2. 在镜像扫描頁面扫描信息地區單擊立即升級雲安全引擎。
  3. 設定安全扫描為云安全扫描引擎，其他參數根據實際情況設定，單擊立即购买，然後完成支付。
    
    返回镜像扫描頁面，可以看到頁面右上方已預設切換為雲安全引擎。
    
    說明
    購買雲安全掃描引擎後，您可以在镜像扫描頁面扫描信息地區單擊设置，在提示對話方塊選中同步，然後單擊確定。啟用同步功能後，Container Registry將自動同步執行個體刪除、鏡像推送、鏡像刪除、鏡像倉庫刪除的訊息至Security Center。
建立掃描規則。
1. 在镜像扫描頁面單擊创建规则。
2. 在扫描规则設定精靈中輸入规则名称，設定扫描范围，然後單擊下一步。
  支援按照命名空間和倉庫對鏡像進行安全掃描：
  - 按照命名空間掃描：選擇命名空间，輸入鏡像版本過濾的正則規則。
  - 按照倉庫掃描：選擇命名空间、仓库，輸入鏡像版本過濾的正則規則。
3. 可選：在事件通知設定精靈中設定通知方式。
  支援DingTalk、HTTP和HTTPS通知：
  - DingTalk：設定通知方式為钉钉，然後輸入Webhook地址和加簽密鑰。
  - HTTP：設定通知方式為HTTP，然後輸入HTTP地址。
  - HTTPS：設定通知方式為HTTPS，然後輸入HTTPS地址。
  鏡像掃描成功後，會發送通知給DingTalk、HTTP或HTTPS。
4. 單擊创建。
手動觸發鏡像掃描。

說明
掃描規則建立完成後，支援手動和自動觸發鏡像掃描。自動觸發指只要鏡像推送或構建成功，就會自動觸發鏡像掃描。
1. 在镜像扫描頁面單擊目標規則右側操作列下的立即扫描。
2. 在彈出的對話方塊單擊確定。
  
  在任务列表地區看到掃描任務的扫描状态顯示扫描完成，說明鏡像掃描成功。
查看掃描結果。
1. 在镜像扫描頁面任务列表地區單擊目標任務右側操作列下的查看任务。
2. 在任务详情頁面單擊任務右側操作列下的查看详情。
  
  您可以在安全扫描頁面查看掃描結果，包括安全性漏洞詳細資料。
  
  說明
  如果您設定的掃描規則中包含多個鏡像，則任务详情頁面會存在多條任務，您可以查看任意一個任務的鏡像掃描結果。

鏡像掃描結果

查看Trivy引擎的掃描結果

在安全扫描頁面可以查看檢測到的系統漏洞、應用漏洞，掃描結果按照高危、中危、低危、未評級四個漏洞等級匯總漏洞資訊，預設按照漏洞等級排列展示。在Trivy 掃描引擎頁簽中，環形圖與分類統計展示漏洞總覽。例如共發現 42 個安全性漏洞，其中高危 12 個、中危 28 個、低危 2 個、未評級 0 個。下方漏洞列表包含漏洞編號、漏洞等級、軟體包、目前的版本、修複版本和漏洞位置等列，可按漏洞等級篩選。單擊右上方重新掃描可觸發新一輪掃描。

說明

受到開源掃描引擎Trivy限制，僅部分系統漏洞或者應用漏洞能識別到漏洞檔案所在的位置。

查看雲安全引擎的掃描結果

在安全扫描頁面可以查看檢測到的CVE代號、应用漏洞、基線檢查和恶意样本，掃描結果按照高危、中危、低危、未評級四個漏洞等級匯總漏洞資訊，預設按照漏洞等級排列展示。

漏洞列表以表格形式展示，包含風險等級、漏洞名稱、軟體包、目前的版本、漏洞編號、漏洞位置、狀態和操作等列。可通過風險等級下拉框和漏洞編號搜尋方塊篩選漏洞，單擊操作列的修複對狀態為未修複的漏洞進行修複，或單擊右上方重新掃描重新整理掃描結果。

修複系統漏洞

如果您使用的是雲安全掃描引擎，您還可以使用一鍵修複系統漏洞功能。具體操作如下：

在安全扫描頁面選中漏洞，單擊頁面底部的一键修复，在修复對話方塊設定修複後的鏡像是否覆蓋原鏡像，然後單擊立即修复。

等待十分鐘後，在安全扫描頁面單擊左上方的表徵圖，在镜像版本頁面可以看到新增_fixd結尾的鏡像，說明鏡像修複成功。

說明

修複後的鏡像以原鏡像的名稱加上_fixd結尾。

Container Registry：容器鏡像安全掃描