Сканирование образов контейнеров
Что такое Сканирование образов контейнеров?
Сканирование образов контейнеровПрактика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде.
Сканирование образов контейнеров проверяет каждый слой OCI-образа — базовую ОС, языковые пакеты, встроенные бинарники и метаданные — выявляя известные CVE, захардкоженные учётные данные, сигнатуры вредоносного ПО и несоответствующие политикам настройки. Инструменты делятся на два семейства: открытые сканеры (Trivy от Aqua Security, Grype от Anchore, Clair и Docker Scout) и коммерческие CNAPP (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Сканирование обычно выполняется в трёх точках: рабочая станция разработчика, CI-пайплайн (с падением сборки при нарушении) и admission в реестре. В современных программах также формируются подписанные SBOM, которые передаются в системы аттестации цепочки поставок Sigstore и SLSA для подтверждения происхождения и воспроизводимости.
● Примеры
- 01
Падение задания GitHub Actions, если в базовом образе обнаружена уязвимость openssl с CVSS 9.8.
- 02
Блокировка развёртывания образа с утёкшим .npmrc и токеном публикации npm.
● Частые вопросы
Что такое Сканирование образов контейнеров?
Практика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде. Относится к категории Защита и операции в кибербезопасности.
Что означает Сканирование образов контейнеров?
Практика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде.
Как защититься от Сканирование образов контейнеров?
Защита от Сканирование образов контейнеров обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Сканирование образов контейнеров?
Распространённые альтернативные названия: скан образов, сканирование уязвимостей контейнеров.