Container-Image-Scanning
Was ist Container-Image-Scanning?
Container-Image-ScanningPraxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen.
Container-Image-Scanning untersucht jede Schicht eines OCI-Images — Basis-OS, Sprachpakete, eingebettete Binaries und Metadaten — auf bekannte CVEs, hartkodierte Credentials, Malware-Signaturen und nicht konforme Konfigurationen. Die Werkzeuge teilen sich in zwei Familien: Open-Source-Scanner (Trivy von Aqua Security, Grype von Anchore, Clair und Docker Scout) und kommerzielle CNAPPs (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Scans laufen typischerweise an drei Stellen: Entwickler-Workstation, CI-Pipeline (Builds scheitern bei Policy-Verstoss) und Registry-Admission. Moderne Programme erzeugen zudem signierte SBOMs, die in Supply-Chain-Attestierung wie Sigstore und SLSA einfliessen, um Herkunft und Reproduzierbarkeit nachzuweisen.
● Beispiele
- 01
Einen GitHub-Actions-Job scheitern lassen, wenn das Base-Image eine CVSS-9.8-Schwachstelle in openssl enthalt.
- 02
Deployment eines Images blockieren, das eine geleakte .npmrc mit npm-Publish-Token enthalt.
● Häufige Fragen
Was ist Container-Image-Scanning?
Praxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Container-Image-Scanning?
Praxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen.
Wie schützt man sich gegen Container-Image-Scanning?
Schutzmaßnahmen gegen Container-Image-Scanning kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Container-Image-Scanning?
Übliche alternative Bezeichnungen: Image-Scanning, Container-Schwachstellenscan.