1
我知道像Clair,Open SCAP等工具,它们似乎根据安装的软件库对容器映像进行安全扫描,并将这些工具与CVE数据库进行比较。如何安全扫描码头图像?
开发人员用户显然可以撤消图像中以前图层的良好工作,无论是恶意还是遗漏,从而暴露容器(例如添加用户帐户,打开端口等)。有没有一种方法(除了对图像构建文件进行明显的手动代码审查),可以自动扫描图像来检测这些内容?我对如何在CI/CD阶段最好地扫描容器图像感兴趣。
我想在非启用Internet的环境中执行此操作。不包括基于云的解决方案。
所以你想要一个离线开放SCAP泊坞窗图像扫描? – rjdkolb
打开SCAP是否会寻找不仅仅是匹配库二进制版本与CVE详细信息?我没有在文档中看到。 – John