容器镜像扫描
容器镜像扫描 是什么?
容器镜像扫描在 OCI/Docker 镜像部署到容器运行时之前,对其进行已知漏洞、机密信息、恶意软件和合规违规检查的安全实践。
容器镜像扫描会检查 OCI 镜像的每一层,包括基础操作系统、语言包、内嵌二进制与元数据,识别已知 CVE、明文凭据、恶意软件特征和不合规配置。工具大致分为两类:开源扫描器(Aqua Security 的 Trivy、Anchore 的 Grype、Clair 和 Docker Scout)与商业 CNAPP(Snyk Container、Prisma Cloud、Wiz、Sysdig Secure)。扫描通常在三个环节执行:开发者工作站、CI 流水线(违规直接构建失败)以及镜像仓库的准入控制。现代项目还会生成签名 SBOM,并通过 Sigstore、SLSA 等供应链证明体系建立来源与可重现性。
● 示例
- 01
当基础镜像包含 openssl 的 CVSS 9.8 漏洞时让 GitHub Actions 作业失败。
- 02
阻止部署一个内含泄漏 .npmrc 与 npm publish 令牌的镜像。
● 常见问题
容器镜像扫描 是什么?
在 OCI/Docker 镜像部署到容器运行时之前,对其进行已知漏洞、机密信息、恶意软件和合规违规检查的安全实践。 它属于网络安全的 防御与运营 分类。
容器镜像扫描 是什么意思?
在 OCI/Docker 镜像部署到容器运行时之前,对其进行已知漏洞、机密信息、恶意软件和合规违规检查的安全实践。
容器镜像扫描 是如何工作的?
容器镜像扫描会检查 OCI 镜像的每一层,包括基础操作系统、语言包、内嵌二进制与元数据,识别已知 CVE、明文凭据、恶意软件特征和不合规配置。工具大致分为两类:开源扫描器(Aqua Security 的 Trivy、Anchore 的 Grype、Clair 和 Docker Scout)与商业 CNAPP(Snyk Container、Prisma Cloud、Wiz、Sysdig Secure)。扫描通常在三个环节执行:开发者工作站、CI 流水线(违规直接构建失败)以及镜像仓库的准入控制。现代项目还会生成签名 SBOM,并通过 Sigstore、SLSA 等供应链证明体系建立来源与可重现性。
如何防御 容器镜像扫描?
针对 容器镜像扫描 的防御通常结合技术控制与运营实践,详见上方完整定义。
容器镜像扫描 还有哪些其他名称?
常见的别称包括: 镜像扫描, 容器漏洞扫描。
● 相关术语
- defense-ops№ 1175
Trivy
由 Aqua Security 提供的开源单一二进制扫描器,可在容器镜像、文件系统、Git 仓库和 Kubernetes 集群中发现 CVE、配置错误、机密、SBOM 与许可证问题。
- vulnerabilities№ 259
CVE(通用漏洞披露)
为每个已披露的软件或硬件漏洞分配唯一标识符的公共目录,使其能在全行业被明确引用。
- cloud-security№ 600
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
- appsec№ 1033
安全左移(Shift-Left Security)
把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。
● 参见
- № 403Falco