Documentation sur Oracle Cloud Infrastructure

Balayage d'images pour détecter les vulnérabilités

Découvrez comment balayer des images dans un référentiel pour détecter les vulnérabilités de sécurité dans le registre de conteneurs.

Il n'est pas rare que les packages du système d'exploitation inclus dans les images présentent des vulnérabilités. La gestion de ces vulnérabilités vous permet de renforcer la sécurité de votre système et de réagir rapidement lorsque de nouvelles vulnérabilités sont découvertes.

Vous pouvez configurer Oracle Cloud Infrastructure Registry (également connu sous le nom de registre de conteneurs) pour balayer les images d'un référentiel afin de détecter les vulnérabilités de sécurité publiées dans la base de données CVE (Common Vulnerabilities and Exposures).

Vous activez le balayage d'images en ajoutant un scanneur d'images à un référentiel. À partir de là, toutes les images poussées vers le référentiel sont analysées pour détecter les vulnérabilités par l'analyseur d'images. Si le référentiel contient déjà des images, les quatre dernières images poussées sont immédiatement analysées pour détecter les vulnérabilités.

Chaque fois que de nouvelles vulnérabilités sont ajoutées à la base de données CVE, le registre de conteneurs balaie automatiquement les images des référentiels pour lesquels le balayage est activé.

Pour chaque image numérisée, vous pouvez afficher :

  • Résumé de chaque analyse de l'image au cours des 13 derniers mois, indiquant le nombre de vulnérabilités trouvées dans chaque analyse et un seul niveau de risque global pour chaque analyse. Les résultats du balayage d'image sont conservés pendant 13 mois pour vous permettre de comparer les résultats du balayage au fil du temps.
  • Résultats détaillés de chaque analyse d'image, pour voir une description de chaque vulnérabilité, ainsi que son niveau de risque, et (le cas échéant) un lien vers la base de données CVE pour plus d'informations.

Vous pouvez désactiver le balayage d'image pour un référentiel particulier en supprimant l'analyseur d'image.

Pour effectuer le balayage d'image, le registre de conteneurs utilise le service de balayage de vulnérabilités Oracle Cloud Infrastructure et l'API REST de balayage de vulnérabilités. Pour plus d'informations sur le service de balayage de vulnérabilités, voir Aperçu du balayage et Cibles d'image de conteneur.

Vous pouvez intégrer le balayage d'images à votre cycle de développement et de déploiement de logiciels existants. Après avoir créé une image, votre outil d'intégration et de développement en continu peut utiliser la commande docker push standard pour pousser l'image vers un référentiel du registre de conteneurs pour lequel le balayage d'image est activé. Votre outil CI/CD peut obtenir les résultats du balayage de l'image à l'aide de l'API REST du service de balayage de vulnérabilités. En fonction des résultats du balayage de l'image, l'outil CI/CD peut déterminer si l'image peut passer à l'étape suivante du cycle de vie.

Politique IAM requise pour balayer les images à la recherche de vulnérabilités

Si vous activez les référentiels pour le balayage d'images, vous devez accorder au service de balayage de vulnérabilités l'autorisation d'extraire des images du registre de conteneurs.

Pour accorder cette autorisation pour toutes les images dans l'ensemble de la location :
allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy
Pour accorder cette autorisation pour toutes les images dans un compartiment particulier :
allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

Utilisation de la console pour activer et désactiver le balayage d'images

Lorsque vous créez un référentiel, le balayage des images est désactivé par défaut. Vous pouvez utiliser la console pour activer le balayage d'images pour un référentiel en créant un nouvel analyseur d'images. Si le balayage d'image a déjà été activé, vous pouvez utiliser la console pour le désactiver.

Pour activer le balayage d'images pour un référentiel :

  1. Dans la page de liste Registre de conteneurs, sélectionnez le référentiel avec lequel vous voulez travailler dans la liste Repositaires et images. Si vous avez besoin d'aide pour trouver la page de liste ou le référentiel, voir Liste des référentiels.

    La section des détails du référentiel s'ouvre.

  2. Sélectionnez Ajouter un scanneur et acceptez les paramètres par défaut (généralement suffisants) ou spécifiez :

    • Nom de la cible : Facultativement, nom du nouvel analyseur d'images.

    • Créer dans le compartiment : compartiment dans lequel créer l'analyseur d'images. Le compartiment auquel le référentiel appartient est sélectionné par défaut, mais vous pouvez sélectionner un autre compartiment.

    • Description : Facultativement, description du scanneur.

  3. Sélectionnez la configuration de balayage à utiliser.

    Une configuration de balayage identifie les images à balayer, en désignant les compartiments auxquels appartiennent les images. En général, vous sélectionnez une configuration de balayage existante ou vous créez une nouvelle configuration de balayage qui désigne le compartiment auquel appartient le référentiel lui-même.

    • Créer une nouvelle configuration de balayage : Balayez des images appartenant au compartiment auquel appartient le référentiel lui-même, en créant une nouvelle configuration de balayage. Acceptez les paramètres par défaut (généralement suffisants) ou entrez éventuellement un nom pour la nouvelle configuration de balayage, puis sélectionnez le compartiment dans lequel créer la nouvelle configuration de balayage. Toutes les images du référentiel seront balayées.

    • Sélectionner une configuration de balayage existante : Balayez des images appartenant aux compartiments spécifiés dans une configuration de balayage existante. Par défaut, vous pouvez voir et sélectionner des configurations de balayage appartenant au même compartiment que le référentiel.

      Sélectionnez Changer de compartiment pour voir et sélectionner les configurations de balayage appartenant à d'autres compartiments. Toutes les images du référentiel seront balayées, à condition que le référentiel appartienne à l'un des compartiments désignés dans la configuration de balayage existante que vous sélectionnez.

  4. Sélectionnez Créer pour créer le nouvel analyseur d'images avec la configuration de balayage que vous avez spécifiée.

    Désormais, toutes les images poussées vers le référentiel sont analysées pour détecter les vulnérabilités par l'analyseur d'images. Si le référentiel contient déjà des images, les quatre dernières images poussées sont immédiatement analysées pour détecter les vulnérabilités.

Pour désactiver le balayage d'images pour un référentiel :

  1. Dans la page de liste Registre de conteneurs, sélectionnez le référentiel avec lequel vous voulez travailler dans la liste Repositaires et images. Si vous avez besoin d'aide pour trouver la page de liste ou le référentiel, voir Liste des référentiels.

    La section des détails du référentiel s'ouvre.

  2. Sélectionnez Supprimer l'analyseur.

Utilisation de la console pour voir les résultats des balayages d'image

Pour voir les résultats des balayages d'image :

  1. Dans la page de liste Registre de conteneurs, sélectionnez le référentiel avec lequel vous voulez travailler dans la liste Repositaires et images. Si vous avez besoin d'aide pour trouver la page de liste ou le référentiel, voir Liste des référentiels.

    La section des détails du référentiel s'ouvre.

  2. Pour voir les vulnérabilités détectées dans une image particulière du référentiel :

    1. Sélectionnez le référentiel dans la liste Répôts et images une deuxième fois.

      Les images du référentiel, y compris leurs identificateurs de version, sont listées sous le référentiel dans la liste Répôts et images.

    2. Dans la liste, sélectionnez l'image.

  3. Sélectionnez l'onglet Résultats du balayage pour voir un sommaire de chaque balayage de l'image pour les 13 derniers mois, affichant :

    • Niveau de risque : Niveau de risque posé par l'image, obtenu en regroupant les niveaux de risque des vulnérabilités individuelles trouvées dans le balayage dans un seul niveau de risque global.

    • Problèmes trouvés : Nombre de vulnérabilités trouvées dans le balayage.

    • Balayage démarré : et Balayage terminé : Lors de l'exécution du balayage.

  4. (Facultatif) Pour voir plus d'informations sur les vulnérabilités trouvées dans un balayage particulier, sélectionnez Voir les détails dans le menu Action à côté du balayage dans l'onglet Résultats du balayage pour ouvrir la boîte de dialogue Détails du balayage affichant :

    • Problème : Nom donné à la vulnérabilité dans la base de données CVE. Sélectionnez le lien pour en savoir plus.

    • Niveau de risque : Niveau de gravité de la vulnérabilité. Critique est le niveau le plus élevé (pour les problèmes les plus graves qui doivent être résolus en priorité), suivi de Élevé, puis de Moyen, puis de Faible et enfin de Minor (indiquant les problèmes les moins graves que vous devez encore résoudre, mais qui peuvent être votre priorité la plus faible).

    • Description : Description de la vulnérabilité.

  5. Sélectionnez Fermer.

Utilisation de l'interface de ligne de commande

Utilisez les commandes de l'interface de ligne de commande du service de balayage de vulnérabilités pour balayer les images à la recherche de vulnérabilités (voir Cibles d'image de conteneur).

Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.