Images auf Schwachstellen scannen

Erfahren Sie, wie Sie Images in einem Repository auf Sicherheitslücken mit Container Registry scannen.

Es ist nicht ungewöhnlich, dass die Betriebssystempakete, die in Images enthalten sind, Sicherheitslücken aufweisen. Durch die Verwaltung dieser Sicherheitslücken können Sie den Sicherheitsstatus Ihres Systems stärken und schnell reagieren, wenn neue Sicherheitslücken entdeckt werden.

Sie können Oracle Cloud Infrastructure Registry (auch als Container Registry bezeichnet) einrichten, um Images in einem Repository auf Sicherheitslücken zu scannen, die in der öffentlich verfügbaren Common Vulnerabilities and Exposures-(CVE-)Datenbank veröffentlicht sind.

Sie aktivieren das Scannen von Bildern, indem Sie einem Repository einen Bildscanner hinzufügen. Ab diesem Zeitpunkt werden alle Images, die in das Repository übertragen werden, vom Imagescanner auf Sicherheitslücken gescannt. Wenn das Repository bereits Images enthält, werden die vier zuletzt übertragenen Images sofort auf Sicherheitslücken gescannt.

Wenn der CVE-Datenbank neue Sicherheitslücken hinzugefügt werden, scannt Container Registry automatisch Images in Repositorys, für die das Scannen aktiviert ist.

Für jedes gescannte Bild können Sie Folgendes anzeigen:

Eine Zusammenfassung jedes Scans des Bildes für die letzten 13 Monate, in der die Anzahl der in jedem Scan gefundenen Sicherheitslücken und ein einzelnes Gesamtrisikostufe für jeden Scan angezeigt werden. Bildscanergebnisse werden 13 Monate lang aufbewahrt, damit Sie die Scanergebnisse im Laufe der Zeit vergleichen können.
Detaillierte Ergebnisse jedes Bildscans, um eine Beschreibung jeder Sicherheitslücke sowie deren Risikostufe anzuzeigen und (sofern verfügbar) einen Link zur CVE-Datenbank für weitere Informationen.

Sie können Imagescans für ein bestimmtes Repository deaktivieren, indem Sie den Imagescanner entfernen.

Um Image-Scans durchzuführen, verwendet Container Registry den REST-API für Vulnerability Scanning und Vulnerability Scanning von Oracle Cloud Infrastructure. Weitere Informationen zum Vulnerability Scanning-Service finden Sie unter Scanningüberblick und Containerimageziele.

Sie können Bildscans in Ihren vorhandenen Softwareentwicklungs- und Deployment-Lebenszyklus integrieren. Nachdem Sie ein Image erstellt haben, kann Ihr CI/CD-Tool den regulären Befehl docker push verwenden, um das Image in ein Repository in Container Registry zu übertragen, für das das Imagescanning aktiviert ist. Mit der Sicherheitslücken-Scan-REST-API kann Ihr CI/CD-Tool die Ergebnisse des Imagescans abrufen. Basierend auf den Ergebnissen des Imagescans kann Ihr CI/CD-Tool dann bestimmen, ob das Image in die nächste Phase im Lebenszyklus verschoben werden soll.

Erforderliche IAM-Policy zum Scannen von Images auf Sicherheitslücken

Wenn Sie Repositorys für das Scannen von Images aktivieren, müssen Sie dem Vulnerability Scanning-Service die Berechtigung erteilen, Images aus Container Registry abzurufen.

So erteilen Sie diese Berechtigung für alle Images im gesamten Mandanten:

allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy

So erteilen Sie diese Berechtigung für alle Images in einem bestimmten Compartment:

allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

Imagescanning mit der Konsole aktivieren und deaktivieren

Wenn Sie ein neues Repository erstellen, werden Imagescans standardmäßig deaktiviert. Mit der Konsole können Sie das Scannen von Bildern für ein Repository aktivieren, indem Sie einen neuen Bildscanner erstellen. Wenn das Scannen von Bildern bereits aktiviert wurde, können Sie es mit der Konsole deaktivieren.

So aktivieren Sie das Scannen von Images für ein Repository:

Wählen Sie auf der Listenseite Container Registry in der Liste Repositories und Images das Repository aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Repository benötigen, finden Sie weitere Informationen unter Repositorys auflisten.

Der Abschnitt mit den Repository-Details wird geöffnet.
Wählen Sie Scanner hinzufügen aus, und übernehmen Sie entweder die Standardeinstellungen (in der Regel ausreichend), oder geben Sie Folgendes an:
- Zielname: Optional ein Name für den neuen Bildscanner.
- Erstellen in Compartment: Das Compartment, in dem der Imagescanner erstellt werden soll. Das Compartment, zu dem das Repository gehört, ist standardmäßig ausgewählt. Sie können jedoch ein alternatives Compartment auswählen.
- Beschreibung: Optional eine Beschreibung des Scanners.
Wählen Sie die zu verwendende Scan-Konfiguration aus.

Eine Scankonfiguration identifiziert die zu scannenden Images, indem sie die Compartments angibt, zu denen Images gehören. In der Regel wählen Sie eine vorhandene Scankonfiguration aus oder erstellen eine neue Scankonfiguration, die das Compartment angibt, zu dem das Repository selbst gehört.
- Neue Scankonfiguration erstellen: Scannen Sie Images, die zu dem Compartment gehören, zu dem das Repository selbst gehört, indem Sie eine neue Scankonfiguration erstellen. Übernehmen Sie entweder die Standardeinstellungen (in der Regel ausreichend), oder geben Sie optional einen Namen für die neue Scankonfiguration ein, und wählen Sie das Compartment aus, in dem die neue Scankonfiguration erstellt werden soll. Alle Bilder im Repository werden gescannt.
- Vorhandene Scankonfiguration auswählen: Scannen Sie Images, die zu den in einer vorhandenen Scankonfiguration angegebenen Compartments gehören. Standardmäßig können Sie Scankonfigurationen anzeigen und auswählen, die zu demselben Compartment wie das Repository gehören.
  
  Wählen Sie Compartment ändern aus, um Scankonfigurationen anzuzeigen und auszuwählen, die zu anderen Compartments gehören. Alle Images im Repository werden gescannt, sofern das Repository zu einem der angegebenen Compartments in der ausgewählten vorhandenen Scankonfiguration gehört.
Wählen Sie Erstellen aus, um den neuen Bildscanner mit der angegebenen Scankonfiguration zu erstellen.

Ab sofort werden alle Images, die in das Repository übertragen werden, vom Imagescanner auf Sicherheitslücken gescannt. Wenn das Repository bereits Images enthält, werden die vier zuletzt übertragenen Images sofort auf Sicherheitslücken gescannt.

So deaktivieren Sie das Scannen von Images für ein Repository:

Wählen Sie auf der Listenseite Container Registry in der Liste Repositories und Images das Repository aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Repository benötigen, finden Sie weitere Informationen unter Repositorys auflisten.

Der Abschnitt mit den Repository-Details wird geöffnet.
Wählen Sie Scanner entfernen.

Ergebnisse von Bildscans mit der Konsole anzeigen

So zeigen Sie die Ergebnisse von Image-Scans an:

Wählen Sie auf der Listenseite Container Registry in der Liste Repositories und Images das Repository aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Repository benötigen, finden Sie weitere Informationen unter Repositorys auflisten.

Der Abschnitt mit den Repository-Details wird geöffnet.
So zeigen Sie Sicherheitslücken an, die in einem bestimmten Image im Repository ermittelt wurden:
1. Wählen Sie das Repository ein zweites Mal in der Liste Repositories und Images aus.
  Die Images im Repository, einschließlich ihrer Versions-IDs, werden unter dem Repository in der Liste Repositories und Images aufgeführt.
2. Wählen Sie das Image aus der Liste.
Wählen Sie die Registerkarte Ergebnisse scannen aus, um eine Zusammenfassung der einzelnen Scans des Images für die letzten 13 Monate anzuzeigen. Hier wird Folgendes angezeigt:
- Risikostufe: Die vom Image ausgehende Risikostufe, die durch Aggregation der Risikostufen einzelner im Scan gefundener Sicherheitslücken in einer einzigen Gesamtrisikostufe abgeleitet wird.
- Gefundene Probleme: Die Anzahl der im Scan gefundenen Sicherheitslücken.
- Scan gestartet: und Scan abgeschlossen: Bei der Ausführung des Scans.
(Optional) Um weitere Informationen zu den Sicherheitslücken in einem bestimmten Scan anzuzeigen, wählen Sie im Menü Aktion neben dem Scan auf der Registerkarte Scanergebnisse die Option Details anzeigen aus, um das Dialogfeld Scandetails zu öffnen, in dem Folgendes angezeigt wird:
- Problemfall: Der Name der Sicherheitslücke in der CVE-Datenbank. Klicken Sie auf den Link, um weitere Informationen dazu zu erhalten.
- Risikostufe: Der Schweregrad der Sicherheitslücke. Kritisch ist die höchste Ebene (für die schwerwiegendsten Probleme, die Ihre höchste Priorität haben sollten), gefolgt von Hoch, Mittel, Niedrig und schließlich Geringfügig (mit den am wenigsten schwerwiegenden Problemen, die Sie noch lösen müssen, die jedoch Ihre niedrigste Priorität sein können).
- Beschreibung: Eine Beschreibung der Sicherheitslücke.
Wählen Sie Schließen.

CLI verwenden

Verwenden Sie die CLI-Befehle zum Scannen von Sicherheitslücken, um Images auf Sicherheitslücken zu scannen (siehe Containerimageziele).

Eine vollständige Liste der Kennzeichen und Variablenoptionen für CLI-Befehle finden Sie in der Befehlszeilenreferenz.

API verwenden

Informationen zur Verwendung der API und zu Signaturanforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Mit der Vulnerability Scanning-API können Sie Images auf Sicherheitslücken scannen (siehe Containerimageziele).