將趨勢科技 Artifact Scanner 的結果整合到您的政策中

檢視次數:

TMAS 掃瞄結果僅在掃瞄完成後的 35 天內對入門控制政策有效。超過此期限後，該映像將被視為未掃瞄。如果使用入門控制政策，您必須至少每 35 天掃瞄相同的映像一次。這可確保入門控制決策基於相對近期的弱點、惡意程式和秘密發現。

這是一個「預發布」功能，尚未被視為正式發布。在使用此功能之前，請先查看測試版免責聲明。

掃瞄結果會自動發送至 Code Security，並可在 Artifacts/Inventory 頁面上查看。詳細資訊請參閱 Code Security 政策。

您可以將趨勢科技 Artifact Scanner (TMAS) 的結果整合到容器安全准入控制政策中。有關如何安裝和設置 CLI 的信息，請參閱將趨勢科技 Artifact Scanner (TMAS) 整合到 CI/CD 管道中。

掃瞄結果會自動發送到容器安全性。不過，您必須使用 registry 工件類型 (registry:yourrepo/yourimage@digest) 來使用結果。

例如：

tmas scan registry:nginx@sha256:08e9c086194875334d606765bd60aa064abd3c215abfbcf5737619110d48d114 -VMS

這會從您的註冊表中提取映像，生成SBOM，並執行開源弱點、惡意程式和秘密掃瞄。

將容器部署到叢集時，請指定您希望部署的映像檔摘要。此摘要是在映像檔推送到註冊表時生成的，並且在使用 TMAS 掃瞄映像檔時也應使用此摘要。這樣可以使掃瞄結果自動與部署到叢集中的映像檔相關聯。

雖然 TMAS 支援掃瞄多架構（multi-arch）映像檔，但當指定多架構映像檔摘要或標籤時，僅會掃瞄清單中的一個映像檔。掃瞄的映像檔是根據平台標誌選擇的，預設掃瞄的架構為 linux/amd64。掃瞄結果是特定於架構的，以確保評估的弱點針對所選架構量身定制。

使用多架構標籤或摘要來掃瞄和部署映像，如果叢集中的節點具有與掃瞄時不同的架構，將會引入安全風險。

為了準確評估與映像部署相關的風險和威脅，請在掃描映像並將其部署到您的叢集中時提供特定架構的摘要。這可確保掃描的映像與將部署到您的叢集中的映像相匹配。這種關聯使您能夠輕鬆配置准入控制策略。例如，您可以封鎖任何具有嚴重弱點的容器映像被部署到您的叢集中。

接下來，建立一個利用工件掃描器結果的容器保護政策。