您可以將趨勢科技 Artifact Scanner (TMAS) 的結果整合到容器安全准入控制政策中。有關如何安裝和設置 CLI 的信息,請參閱 將趨勢科技 Artifact Scanner 整合到 CI/CD 管道中。
掃瞄結果會自動發送到容器安全性。不過,您必須使用
registry 工件類型 (registry:yourrepo/yourimage@digest) 來使用結果。例如:
tmas scan registry:nginx@sha256:08e9c086194875334d606765bd60aa064abd3c215abfbcf5737619110d48d114 -VMS
這會從您的註冊表中提取映像,生成SBOM,並執行開源弱點、惡意程式和秘密掃瞄。
將容器部署到叢集時,請指定您希望部署的映像檔摘要。此摘要是在映像檔推送到註冊表時生成的,並且在使用 TMAS 掃瞄映像檔時也應使用此摘要。這樣可以使掃瞄結果自動與部署到叢集中的映像檔相關聯。
雖然 TMAS 支援掃瞄多架構(multi-arch)映像檔,但當指定多架構映像檔摘要或標籤時,僅會掃瞄清單中的一個映像檔。掃瞄的映像檔是根據平台標誌選擇的,預設掃瞄的架構為
linux/amd64。掃瞄結果是特定於架構的,以確保評估的弱點針對所選架構量身定制。使用多架構標籤或摘要來掃瞄和部署映像,如果叢集中的節點具有與掃瞄時不同的架構,將會引入安全風險。
 |
警告為了準確評估與映像部署相關的風險和威脅,請在掃描映像並將其部署到您的叢集中時提供特定架構的摘要。這可確保掃描的映像與將部署到您的叢集中的映像相匹配。這種關聯使您能夠輕鬆配置准入控制策略。例如,您可以封鎖任何具有嚴重弱點的容器映像被部署到您的叢集中。
|
TMAS 掃瞄結果僅在掃瞄完成後的 30 天內對入場控制政策有效。此期間過後,該映像將被視為未經掃瞄。如果使用容器安全入場控制政策,您必須每 30 天至少掃瞄一次相同的映像。這可確保入場控制決策基於相對近期的弱點、惡意程式和秘密發現。
接下來,建立一個利用工件掃描器結果的容器保護政策。