Entry № 238
容器镜像扫描
容器镜像扫描 是什么?
容器镜像扫描在 OCI/Docker 镜像部署到容器运行时之前,对其进行已知漏洞、机密信息、恶意软件和合规违规检查的安全实践。
容器镜像扫描会检查 OCI 镜像的每一层,包括基础操作系统、语言包、内嵌二进制与元数据,识别已知 CVE、明文凭据、恶意软件特征和不合规配置。工具大致分为两类:开源扫描器(Aqua Security 的 Trivy、Anchore 的 Grype、Clair 和 Docker Scout)与商业 CNAPP(Snyk Container、Prisma Cloud、Wiz、Sysdig Secure)。扫描通常在三个环节执行:开发者工作站、CI 流水线(违规直接构建失败)以及镜像仓库的准入控制。现代项目还会生成签名 SBOM,并通过 Sigstore、SLSA 等供应链证明体系建立来源与可重现性。
● 示例
- 01
当基础镜像包含 openssl 的 CVSS 9.8 漏洞时让 GitHub Actions 作业失败。
- 02
阻止部署一个内含泄漏 .npmrc 与 npm publish 令牌的镜像。
● 常见问题
容器镜像扫描 是什么?
在 OCI/Docker 镜像部署到容器运行时之前,对其进行已知漏洞、机密信息、恶意软件和合规违规检查的安全实践。 它属于网络安全的 防御与运营 分类。
容器镜像扫描 是什么意思?
在 OCI/Docker 镜像部署到容器运行时之前,对其进行已知漏洞、机密信息、恶意软件和合规违规检查的安全实践。
如何防御 容器镜像扫描?
针对 容器镜像扫描 的防御通常结合技术控制与运营实践,详见上方完整定义。
容器镜像扫描 还有哪些其他名称?
常见的别称包括: 镜像扫描, 容器漏洞扫描。