![]() |
注意TMAS 掃瞄結果僅在掃瞄完成後的 35 天內對入門控制政策有效。超過此期限後,該映像將被視為未掃瞄。如果使用入門控制政策,您必須至少每 35 天掃瞄相同的映像一次。這可確保入門控制決策基於相對近期的弱點、惡意程式和秘密發現。
|
程式碼安全性
![]() |
重要這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明。
|
掃瞄結果會自動發送至 Code Security,並可在 Artifacts/Inventory 頁面上查看。詳細資訊請參閱 Code Security 政策。
Container Security
您可以將趨勢科技 Artifact Scanner (TMAS) 的結果整合到容器安全准入控制政策中。有關如何安裝和設置 CLI 的信息,請參閱 將趨勢科技 Artifact Scanner (TMAS) 整合到 CI/CD 管道中。
掃瞄結果會自動發送到容器安全性。不過,您必須使用
registry
工件類型 (registry:yourrepo/yourimage@digest
) 來使用結果。例如:
tmas scan registry:nginx@sha256:08e9c086194875334d606765bd60aa064abd3c215abfbcf5737619110d48d114 -VMS
這會從您的註冊表中提取映像,生成SBOM,並執行開源弱點、惡意程式和秘密掃瞄。
將容器部署到叢集時,請指定您希望部署的映像檔摘要。此摘要是在映像檔推送到註冊表時生成的,並且在使用 TMAS 掃瞄映像檔時也應使用此摘要。這樣可以使掃瞄結果自動與部署到叢集中的映像檔相關聯。
雖然 TMAS 支援掃瞄多架構(multi-arch)映像檔,但當指定多架構映像檔摘要或標籤時,僅會掃瞄清單中的一個映像檔。掃瞄的映像檔是根據平台標誌選擇的,預設掃瞄的架構為
linux/amd64
。掃瞄結果是特定於架構的,以確保評估的弱點針對所選架構量身定制。使用多架構標籤或摘要來掃瞄和部署映像,如果叢集中的節點具有與掃瞄時不同的架構,將會引入安全風險。
![]() |
警告為了準確評估與映像部署相關的風險和威脅,請在掃描映像並將其部署到您的叢集中時提供特定架構的摘要。這可確保掃描的映像與將部署到您的叢集中的映像相匹配。這種關聯使您能夠輕鬆配置准入控制策略。例如,您可以封鎖任何具有嚴重弱點的容器映像被部署到您的叢集中。
|
接下來,建立一個利用工件掃描器結果的容器保護政策。