容器的镜像生成以后,需要手动运行安全扫描,来确保生成的容器镜像满足系统安全扫描要求,有没有工具能够自动对新生成的容器镜像进行安全扫描,扫描完后自动发送通知安全扫描的结果??
手工扫描,说明您那边已经有容器镜像安全扫描的工具,只是没有自动化触发这个流程。
自动化触发扫描的能力,通常不是扫描工具具备,而是由CI/CD流水线工具作触发,例如常见的Jenkins,或者其他DevOps平台。
只要将镜像扫描编排进流水线中,在生成新镜像后将镜像URL传递给镜像扫描工具,并下达扫描指令,然后再等待结果进行展示。
所以您可能缺少的是一个DevOps平台,一方面编排调度各类工具,一方面对各种工具的输出结果进行统计分析度量。
收起对于容器镜像安全的保证,可以秉承预防为主,防治结合的理念来进行。所谓防,就是要在编写 Dockerfle 的时候,遵循最佳实践来编写安全的 Dockerfile;还要采用安全的方式来构建容器镜像;所谓治,即要使用容器镜像扫描,又要将扫描流程嵌入到 CI/CD 中,如果镜像扫描出漏洞,则应该立即终止 CI/CD Pipeline,并反馈至相关人员,进行修复后重新触发 CI/CD Pipeline。
收起