Balayage de vulnérabilités dans les images de fonctions

Découvrez comment activer et désactiver les balayages d'images de fonction poussées vers le registre de conteneurs à l'aide du service des fonctions pour OCI et comment vérifier les résultats du balayage pour détecter les vulnérabilités trouvées dans ces images de fonction.

Dans le service des fonctions pour OCI, la définition d'une fonction spécifie l'image Docker à pousser vers un référentiel d'Oracle Cloud Infrastructure Registry et à en extraire.

Vous pouvez configurer Oracle Cloud Infrastructure Registry (également appelé Container Registry) pour balayer les images de fonction lorsqu'elles sont poussées vers le référentiel d'une fonction. Les images de fonction sont analysées pour détecter les vulnérabilités de sécurité publiées dans la base de données Common Vulnerabilities and Exposures (CVE) accessible au public. Voir Balayage d'images pour détecter les vulnérabilités.

Pour effectuer le balayage d'image de fonction, le registre de conteneurs utilise le service de balayage de vulnérabilités Oracle Cloud Infrastructure et l'API REST du balayage de vulnérabilités (voir Cibles d'image de conteneur dans la documentation du service de balayage de vulnérabilités). Notez que vous devez accorder au service de balayage de vulnérabilités l'autorisation d'extraire des images du registre de conteneurs (voir Politique IAM requise pour le balayage des images de fonction pour détecter les vulnérabilités).

Vous activez le balayage d'images de fonction en ajoutant un scanneur d'images au référentiel de la fonction. À partir de là, toutes les images poussées vers ce référentiel sont balayées pour détecter les vulnérabilités par l'analyseur d'images. Si le référentiel contient déjà des images, les quatre dernières images poussées sont immédiatement analysées pour détecter les vulnérabilités. Vous pouvez désactiver le balayage d'image pour un référentiel particulier en supprimant l'analyseur d'image. Voir Utilisation de la console pour activer et désactiver le balayage d'images.

Chaque fois que de nouvelles vulnérabilités sont ajoutées à la base de données CVE, le registre de conteneurs balaie automatiquement les images des référentiels pour lesquels le balayage est activé.

Vous pouvez voir les résultats des balayages d'image dans la console (voir Utilisation de la console pour voir les résultats des balayages d'image). Pour chaque image de fonction numérisée, vous pouvez afficher :

• Résumé de chaque analyse de l'image au cours des 13 derniers mois, indiquant le nombre de vulnérabilités trouvées dans chaque analyse et un seul niveau de risque global pour chaque analyse. Les résultats du balayage d'image sont conservés pendant 13 mois pour vous permettre de comparer les résultats du balayage au fil du temps.
• Résultats détaillés de chaque analyse d'image, pour voir une description de chaque vulnérabilité, ainsi que son niveau de risque, et (le cas échéant) un lien vers la base de données CVE pour plus d'informations.

Utilisez toujours les dernières images de base de compilation et d'exécution FDK pour réduire le nombre de vulnérabilités connues incluses dans une image et signalées dans les résultats de l'analyse. Voir Comment mettre à niveau une fonction existante pour utiliser la dernière version de l'image de base de compilation et d'exécution de la trousse FDK pour une langue prise en charge.