Сканирование образов контейнеров
Что такое Сканирование образов контейнеров?
Сканирование образов контейнеровПрактика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде.
Сканирование образов контейнеров проверяет каждый слой OCI-образа — базовую ОС, языковые пакеты, встроенные бинарники и метаданные — выявляя известные CVE, захардкоженные учётные данные, сигнатуры вредоносного ПО и несоответствующие политикам настройки. Инструменты делятся на два семейства: открытые сканеры (Trivy от Aqua Security, Grype от Anchore, Clair и Docker Scout) и коммерческие CNAPP (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Сканирование обычно выполняется в трёх точках: рабочая станция разработчика, CI-пайплайн (с падением сборки при нарушении) и admission в реестре. В современных программах также формируются подписанные SBOM, которые передаются в системы аттестации цепочки поставок Sigstore и SLSA для подтверждения происхождения и воспроизводимости.
● Примеры
- 01
Падение задания GitHub Actions, если в базовом образе обнаружена уязвимость openssl с CVSS 9.8.
- 02
Блокировка развёртывания образа с утёкшим .npmrc и токеном публикации npm.
● Частые вопросы
Что такое Сканирование образов контейнеров?
Практика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде. Относится к категории Защита и операции в кибербезопасности.
Что означает Сканирование образов контейнеров?
Практика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде.
Как работает Сканирование образов контейнеров?
Сканирование образов контейнеров проверяет каждый слой OCI-образа — базовую ОС, языковые пакеты, встроенные бинарники и метаданные — выявляя известные CVE, захардкоженные учётные данные, сигнатуры вредоносного ПО и несоответствующие политикам настройки. Инструменты делятся на два семейства: открытые сканеры (Trivy от Aqua Security, Grype от Anchore, Clair и Docker Scout) и коммерческие CNAPP (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Сканирование обычно выполняется в трёх точках: рабочая станция разработчика, CI-пайплайн (с падением сборки при нарушении) и admission в реестре. В современных программах также формируются подписанные SBOM, которые передаются в системы аттестации цепочки поставок Sigstore и SLSA для подтверждения происхождения и воспроизводимости.
Как защититься от Сканирование образов контейнеров?
Защита от Сканирование образов контейнеров обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Сканирование образов контейнеров?
Распространённые альтернативные названия: скан образов, сканирование уязвимостей контейнеров.
● Связанные термины
- defense-ops№ 1175
Trivy
Открытый сканер от Aqua Security в виде одного бинарника, обнаруживающий CVE, ошибки конфигурации, секреты, SBOM и проблемы лицензий в образах контейнеров, файловых системах, Git-репозиториях и кластерах Kubernetes.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Публичный каталог, присваивающий уникальный идентификатор каждой раскрытой уязвимости ПО или оборудования для однозначных ссылок в индустрии.
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
- appsec№ 1033
Shift-Left Security
Подход, при котором действия по безопасности перемещаются на более ранние стадии жизненного цикла ПО, чтобы выявлять и исправлять уязвимости до выхода в продакшен.
● См. также
- № 403Falco