Funktionsimages auf Sicherheitslücken scannen

Erfahren Sie, wie Sie Scans von Funktionsimages aktivieren und deaktivieren, die mit OCI Functions an Container Registry übertragen werden, und wie Sie die Scanergebnisse auf Sicherheitslücken in diesen Funktionsimages prüfen.

In OCI Functions gibt die Definition einer Funktion das Docker-Image an, das in ein Repository in Oracle Cloud Infrastructure Registry übertragen und daraus abgerufen werden soll.

Sie können Oracle Cloud Infrastructure Registry (auch als Container Registry bezeichnet) einrichten, um Funktionsimages zu scannen, wenn sie an das Repository einer Funktion übertragen werden. Die Funktionsimages werden auf Sicherheitslücken gescannt, die in der öffentlich verfügbaren Common Vulnerabilities and Exposures-(CVE-)Datenbank veröffentlicht sind. Siehe Images auf Sicherheitslücken scannen.

Um das Scannen von Funktionsimages auszuführen, verwendet Container Registry den Oracle Cloud Infrastructure Vulnerability Scanning-Service und die Vulnerability Scanning-REST-API (siehe Containerimageziele in der Dokumentation zum Vulnerability Scanning-Service). Beachten Sie, dass Sie dem Vulnerability Scanning-Service die Berechtigung erteilen müssen, Images aus Container Registry abzurufen (siehe Erforderliche IAM-Policy zum Scannen von Funktionsimages auf Sicherheitslücken).

Sie aktivieren das Scannen von Funktionsbildern, indem Sie dem Repository der Funktion einen Bildscanner hinzufügen. Ab diesem Zeitpunkt werden alle Images, die in dieses Repository übertragen werden, vom Imagescanner auf Sicherheitslücken gescannt. Wenn das Repository bereits Images enthält, werden die vier zuletzt übertragenen Images sofort auf Sicherheitslücken gescannt. Sie können Imagescans für ein bestimmtes Repository deaktivieren, indem Sie den Imagescanner entfernen. Siehe Imagescanning mit der Konsole aktivieren und deaktivieren.

Wenn der CVE-Datenbank neue Sicherheitslücken hinzugefügt werden, scannt Container Registry automatisch Images in Repositorys, für die das Scannen aktiviert ist.

Sie können die Ergebnisse von Image Scans in der Konsole anzeigen (siehe Ergebnisse von Image Scans mit der Konsole anzeigen). Für jedes gescannte Funktionsbild können Sie Folgendes anzeigen:

• Eine Zusammenfassung jedes Scans des Bildes für die letzten 13 Monate, in der die Anzahl der in jedem Scan gefundenen Sicherheitslücken und ein einzelnes Gesamtrisikostufe für jeden Scan angezeigt werden. Bildscanergebnisse werden 13 Monate lang aufbewahrt, damit Sie die Scanergebnisse im Laufe der Zeit vergleichen können.
• Detaillierte Ergebnisse jedes Bildscans, um eine Beschreibung jeder Sicherheitslücke sowie deren Risikostufe anzuzeigen und (sofern verfügbar) einen Link zur CVE-Datenbank für weitere Informationen.

Verwenden Sie immer die neuesten FDK-Build-Time- und Runtime-Basisimages, um die Anzahl bekannter Sicherheitslücken zu reduzieren, die in einem Image enthalten sind und in den Scanergebnissen gemeldet werden. Siehe So aktualisieren Sie eine vorhandene Funktion, um die neueste FDK-Build-Time- und Runtime Base Image-Version für eine unterstützte Sprache zu verwenden.