Ansichten:
Hinweis
Hinweis
Die TMAS-Durchsuchungsergebnisse sind nur 35 Tage nach Abschluss der Durchsuchung für die Zulassungskontrollrichtlinie gültig. Nach diesem Zeitraum wird das Image so behandelt, als wäre es nicht durchsucht worden. Wenn Sie die Zulassungskontrollrichtlinie verwenden, müssen Sie dasselbe Image mindestens alle 35 Tage durchsuchen. Dies stellt sicher, dass Zulassungskontrollentscheidungen auf relativ aktuellen Sicherheitslücken-, Malware- und Geheimnisfunden basieren.

Code-Sicherheit

Wichtig
Wichtig
Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Vorab-Haftungsausschluss vor der Verwendung der Funktion.
Scan-Ergebnisse werden automatisch an Code Security gesendet und können auf der Seite Artefakte/Inventar eingesehen werden. Für weitere Informationen siehe Code Security-Richtlinien.

Container Security

Sie können die Ergebnisse des Trend Micro Artifact Scanners (TMAS) in die Container Security-Zulassungskontrollrichtlinien integrieren. Informationen zur Installation und Einrichtung der CLI finden Sie unter Trend Micro Artifact Scanner (TMAS) in eine CI/CD-Pipeline integrieren.
Das Scanergebnis wird automatisch an Container Security gesendet. Sie müssen jedoch den Artefakttyp registry (registry:yourrepo/yourimage@digest) DURCHSUCHEN, um die Ergebnisse nutzen zu können.
Beispiel:
tmas scan registry:nginx@sha256:08e9c086194875334d606765bd60aa064abd3c215abfbcf5737619110d48d114 -VMS
Dies zieht das Image aus Ihrem Registry, erzeugt ein SBOM und führt einen Scan auf Open-Source-Sicherheitslücken, Malware und Geheimnisse durch.
Beim Bereitstellen eines Containers in einem Cluster geben Sie den Image-Digest für das Image an, das Sie bereitstellen möchten. Dieser Digest wird generiert, wenn das Image in ein Registry hochgeladen wird, und sollte auch beim DURCHSUCHEN von Images mit TMAS verwendet werden. Dies ermöglicht es, die Durchsuchungsergebnisse automatisch mit den in den Cluster bereitgestellten Images zu korrelieren.
Obwohl TMAS das DURCHSUCHEN von Multi-Architektur (Multi-Arch) Bildern unterstützt, wird nur ein Bild aus der Manifestliste gescannt, wenn ein Multi-Arch-Bild-Digest oder -Tag angegeben wird. Das gescannte Bild wird basierend auf dem Plattform-Flag ausgewählt, wobei die standardmäßig gescannte Architektur linux/amd64 ist. Die Scanergebnisse sind architekturspezifisch, um sicherzustellen, dass die bewerteten Schwachstellen auf eine ausgewählte Architektur zugeschnitten sind.
Die Verwendung von Multi-Arch-Tags oder Digests zum DURCHSUCHEN und Bereitstellen von Images stellt ein Sicherheitsrisiko dar, wenn der Cluster Knoten mit anderen Architekturen hat als die, die durchsucht wurden.
Warnung
Warnung
Um die Risiken und Bedrohungen im Zusammenhang mit der Bereitstellung von Images genau zu bewerten, geben Sie den architekturspezifischen Digest an, wenn Sie ein Image scannen und in Ihrem Cluster bereitstellen. Dies stellt sicher, dass das gescannte Image mit dem übereinstimmt, was in Ihrem Cluster bereitgestellt wird. Diese Korrelation ermöglicht es Ihnen, eine Zulassungskontrollrichtlinie einfach zu konfigurieren. Zum Beispiel könnten Sie alle Container-Images sperren, die KRITISCHE Schwachstellen aufweisen, um deren Bereitstellung in Ihren Clustern zu verhindern.
Erstellen Sie als Nächstes eine Container Protection-Richtlinie, die die Ergebnisse des Artefaktscanners nutzt.