Сканер уязвимостей
Статья создана
Обновлена 6 августа 2024 г.
Сканер уязвимостей — сервис, который позволяет:
- провести статический анализ Docker-образа на наличие уязвимостей в компонентах, библиотеках и зависимостях, которые используются в Docker-образе;
- сравнить содержимое Docker-образа с базами уязвимостей CVE.
Сканер уязвимостей работает только с Docker-образами из Container Registry. Пользователь может сканировать те Docker-образы, на которые у него есть права.
При сканировании происходит распаковка Docker-образа и поиск версий установленных пакетов (deb). Затем найденные версии пакетов сверяются с базой данных известных уязвимостей.
На данный момент поддерживаются следующие операционные системы, на базе которых собраны пользовательские Docker-образы:
- Alpine 3.10, 3.11, 3.12, 3.13, 3.14, 3.15, 3.16, 3.17, 3.19, 3.20
- Amazon 2 (Karoo)
- CentOS 5, 6, 7, 8
- Debian 7, 8, 9, 10, 11
- Redhat 8.0, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.8, 9.0, 9.1
- Ubuntu 14.04, 16.04, 18.04, 20.04, 20.10, 21.04, 21.10, 22.04, 24.06
Примечание
Сканирование Docker-образов на наличие уязвимостей тарифицируется.
Типы сканирования
Можно сканировать загруженные в реестр Docker-образы на наличие уязвимостей:
- вручную — сканирование запускается пользователем;
- при загрузке — Docker-образы сканируются автоматически при загрузке;
- по расписанию — Docker-образы сканируются автоматически по указанному пользователем расписанию.
Примеры использования сканера уязвимостей
- Сканирование уязвимостей при непрерывном развертывании приложений Managed Service for Kubernetes с помощью GitLab.
- Хранение Docker-образов из проектов Yandex Managed Service for GitLab.