Сканер уязвимостей
Сканер уязвимостей — сервис, который позволяет:
- провести статический анализ Docker-образа на наличие уязвимостей в компонентах, библиотеках и зависимостях, которые используются в Docker-образе;
- сравнить содержимое Docker-образа с базами уязвимостей CVE.
Сканер уязвимостей работает только с Docker-образами из Container Registry. Пользователь может сканировать те Docker-образы, на которые у него есть права.
При сканировании происходит распаковка Docker-образа и поиск версий установленных пакетов (deb). Затем найденные версии пакетов сверяются с базой данных известных уязвимостей.
На данный момент поддерживаются следующие операционные системы, на базе которых собраны пользовательские Docker-образы:
- Alpine 3.10, 3.11, 3.12, 3.13, 3.14, 3.15, 3.16, 3.17, 3.19, 3.20, 3.21, 3.22, edge
- Amazon 2, 2023
- CentOS 5, 6, 7, 8
- Debian 7, 8, 9, 10, 11, 12
- Redhat 8.0, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.8, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5, 9.6, 10
- Ubuntu 14.04 и выше
Примечание
Сканирование Docker-образов на наличие уязвимостей тарифицируется.
Типы сканирования
Можно сканировать загруженные в реестр Docker-образы на наличие уязвимостей:
- вручную — сканирование запускается пользователем;
- при загрузке — Docker-образы сканируются автоматически при загрузке;
- по расписанию — Docker-образы сканируются автоматически по указанному пользователем расписанию.
Хранение результатов сканирования
Для каждого Docker-образа хранятся три последних успешных сканирования, которые завершились за последние 30 дней. Если в течение 30 дней Docker-образ не сканировали, хранится только одно последнее сканирование.
Примеры использования
- Сканирование уязвимостей при непрерывном развертывании приложений Managed Service for Kubernetes с помощью GitLab.
- Хранение Docker-образов из проектов Yandex Managed Service for GitLab.