Analyse d'images de fonction à des fins de détection des vulnérabilités

Découvrez comment activer et désactiver les analyses des images de fonction transmises à Container Registry à l'aide d'OCI Functions, et comment rechercher les vulnérabilités trouvées dans ces images de fonction dans les résultats d'analyse.

Dans OCI Functions, la définition d'une fonction indique l'image Docker à propager vers un référentiel dans Oracle Cloud Infrastructure Registry et à extraire à partir de celui-ci.

Vous pouvez configurer Oracle Cloud Infrastructure Registry (également appelé Container Registry) pour analyser les images de fonction lorsqu'elles sont propagées vers le référentiel d'une fonction. Les images de fonction sont analysées à la recherche de vulnérabilités de sécurité publiées dans la base de données CVE (Common Vulnerabilities and Exposures) accessible au public. Reportez-vous à Analyse d'images à des fins de détection des vulnérabilités.

Pour effectuer l'analyse d'image de fonction, Container Registry utilise le service Oracle Cloud Infrastructure Vulnerability Scanning et l'API REST Vulnerability Scanning (reportez-vous à Cibles d'image de conteneur dans la documentation du service Vulnerability Scanning). Vous devez autoriser le service Vulnerability Scanning à extraire des images à partir de Container Registry (reportez-vous à Stratégie IAM requise pour l'analyse des images de fonction à des fins de détection des vulnérabilités).

Pour activer l'analyse d'image de fonction, ajoutez un scanner d'image au référentiel de la fonction. Dès lors, toutes les images propagées vers ce référentiel sont analysées à la recherche de vulnérabilités par l'analyseur d'images. Si le référentiel contient déjà des images, les quatre dernières images poussées sont immédiatement analysées à la recherche de vulnérabilités. Vous pouvez désactiver l'analyse d'images sur un référentiel particulier en supprimant l'analyseur d'images. Reportez-vous à Utilisation de la console pour activer et désactiver l'analyse d'image.

Chaque fois que de nouvelles vulnérabilités sont ajoutées à la base de données CVE, Container Registry réanalyse automatiquement les images dans les référentiels pour lesquels l'analyse est activée.

Vous pouvez visualiser les résultats des analyses d'image dans la console (reportez-vous à Utilisation de la console pour visualiser les résultats des analyses d'image). Pour chaque image de fonction scannée, vous pouvez afficher :

• Résumé de chaque analyse de l'image au cours des 13 derniers mois, indiquant le nombre de vulnérabilités trouvées dans chaque analyse et un seul niveau de risque global pour chaque analyse. Les résultats d'analyse d'image sont conservés pendant 13 mois pour vous permettre de comparer les résultats d'analyse au fil du temps.
• Résultats détaillés de chaque analyse d'image, pour voir une description de chaque vulnérabilité, ainsi que son niveau de risque, et (le cas échéant) un lien vers la base de données CVE pour plus d'informations.

Utilisez toujours les dernières images de base de compilation et d'exécution FDK pour réduire le nombre de vulnérabilités connues incluses dans une image et signalées dans les résultats de l'analyse. Reportez-vous à Mise à niveau d'une fonction existante pour utiliser la dernière version d'image de base de build et d'exécution FDK pour une langue prise en charge.