Documentation Oracle Cloud Infrastructure

Analyse d'images à des fins de détection des vulnérabilités

Découvrez comment analyser des images dans un référentiel à la recherche de vulnérabilités de sécurité avec Container Registry.

Il n'est pas rare que les packages du système d'exploitation inclus dans les images présentent des vulnérabilités. La gestion de ces vulnérabilités vous permet de renforcer l'état de sécurité de votre système et de réagir rapidement lorsque de nouvelles vulnérabilités sont détectées.

Vous pouvez configurer Oracle Cloud Infrastructure Registry (également appelé Container Registry) afin d'analyser des images dans un référentiel à la recherche de vulnérabilités de sécurité publiées dans la base de données CVE (Common Vulnerabilities and Exposures) disponible publiquement.

Pour activer l'analyse d'image, ajoutez un scanner d'image à un référentiel. Dès lors, toutes les images transmises au référentiel sont analysées à la recherche de vulnérabilités par l'analyseur d'images. Si le référentiel contient déjà des images, les quatre dernières images poussées sont immédiatement analysées à la recherche de vulnérabilités.

Chaque fois que de nouvelles vulnérabilités sont ajoutées à la base de données CVE, Container Registry réanalyse automatiquement les images dans les référentiels pour lesquels l'analyse est activée.

Pour chaque image numérisée, vous pouvez afficher :

  • Résumé de chaque analyse de l'image au cours des 13 derniers mois, indiquant le nombre de vulnérabilités trouvées dans chaque analyse et un seul niveau de risque global pour chaque analyse. Les résultats d'analyse d'image sont conservés pendant 13 mois pour vous permettre de comparer les résultats d'analyse au fil du temps.
  • Résultats détaillés de chaque analyse d'image, pour voir une description de chaque vulnérabilité, ainsi que son niveau de risque, et (le cas échéant) un lien vers la base de données CVE pour plus d'informations.

Vous pouvez désactiver l'analyse d'images sur un référentiel particulier en supprimant l'analyseur d'images.

Pour effectuer une analyse d'image, Container Registry utilise le service Oracle Cloud Infrastructure Vulnerability Scanning et l'API REST Vulnerability Scanning. Pour plus d'informations sur le service Vulnerability Scanning, reportez-vous à Présentation de Scanning et à Cibles d'image de conteneur.

Vous pouvez intégrer l'analyse d'images dans le cycle de développement et de déploiement de vos logiciels existants. Après avoir créé une image, votre outil d'intégration continue et de déploiement continu peut utiliser la commande docker push standard pour propager l'image vers un référentiel dans Container Registry pour lequel l'analyse d'image est activée. Votre outil d'IC/CD peut obtenir les résultats de l'analyse d'image à l'aide de l'API REST Vulnerability Scanning. En fonction des résultats de l'analyse d'image, l'outil d'intégration continue et de déploiement continu détermine si l'image doit passer à la phase suivante du cycle de vie.

Stratégie IAM requise pour l'analyse des images à la recherche de vulnérabilités

Si vous activez les référentiels pour l'analyse d'images, vous devez autoriser le service Vulnerability Scanning à extraire des images de Container Registry.

Afin d'accorder ce droit d'accès pour toutes les images de l'ensemble de la location, utilisez ce qui suit :
allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy
Afin d'accorder ce droit d'accès pour toutes les images d'un compartiment spécifique, utilisez ce qui suit :
allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

Utilisation de la console pour activer et désactiver l'analyse d'image

Lorsque vous créez un référentiel, l'analyse d'images est désactivée par défaut. Vous pouvez utiliser la console pour activer l'analyse d'image pour un référentiel en créant un scanner d'image. Si l'analyse d'image a déjà été activée, vous pouvez utiliser la console pour la désactiver.

Pour activer l'analyse d'image pour un référentiel, procédez comme suit :

  1. Sur la page de liste Registre de conteneurs, sélectionnez le référentiel à utiliser dans la liste Référentiels et images. Si vous avez besoin d'aide pour rechercher la page de liste ou le référentiel, reportez-vous à Liste des référentiels.

    La section des détails du référentiel s'ouvre.

  2. Sélectionnez Ajouter un scanner et acceptez les paramètres par défaut (généralement suffisants) ou spécifiez :

    • Nom de la cible : nom du nouveau scanner d'images (facultatif).

    • Créer dans le compartiment : compartiment dans lequel créer le scanner d'image. Le compartiment auquel le référentiel appartient est sélectionné par défaut, mais vous pouvez en sélectionner un autre.

    • Description : éventuellement, description du scanner.

  3. Sélectionnez la configuration d'analyse à utiliser.

    Une configuration d'analyse identifie les images à analyser, en désignant les compartiments auxquels les images appartiennent. En général, vous sélectionnez une configuration d'analyse existante ou créez une configuration d'analyse qui désigne le compartiment auquel le référentiel lui-même appartient.

    • Créer une configuration d'analyse : analysez les images appartenant au compartiment auquel le référentiel lui-même appartient, en créant une configuration d'analyse. Acceptez les paramètres par défaut (généralement suffisants) ou entrez éventuellement le nom de la nouvelle configuration d'analyse, puis sélectionnez le compartiment dans lequel créer la nouvelle configuration d'analyse. Toutes les images du référentiel seront analysées.

    • Sélectionner une configuration d'analyse existante : analyse les images appartenant aux compartiments indiqués dans une configuration d'analyse existante. Par défaut, vous pouvez afficher et sélectionner des configurations d'analyse appartenant au même compartiment que le référentiel.

      Sélectionnez Modifier le compartiment pour afficher et sélectionner les configurations d'analyse appartenant à d'autres compartiments. Toutes les images du référentiel seront analysées, à condition qu'elles appartiennent à l'un des compartiments désignés dans la configuration d'analyse existante que vous sélectionnez.

  4. Sélectionnez Créer pour créer le scanner d'image avec la configuration d'analyse que vous avez indiquée.

    Désormais, toutes les images transmises au référentiel sont analysées à la recherche de vulnérabilités par l'analyseur d'images. Si le référentiel contient déjà des images, les quatre dernières images poussées sont immédiatement analysées à la recherche de vulnérabilités.

Pour désactiver l'analyse d'image pour un référentiel, procédez comme suit :

  1. Sur la page de liste Registre de conteneurs, sélectionnez le référentiel à utiliser dans la liste Référentiels et images. Si vous avez besoin d'aide pour rechercher la page de liste ou le référentiel, reportez-vous à Liste des référentiels.

    La section des détails du référentiel s'ouvre.

  2. Sélectionnez Supprimer le scanner.

Utilisation de la console pour afficher les résultats des analyses d'image

Pour visualiser les résultats des analyses d'image, procédez comme suit :

  1. Sur la page de liste Registre de conteneurs, sélectionnez le référentiel à utiliser dans la liste Référentiels et images. Si vous avez besoin d'aide pour rechercher la page de liste ou le référentiel, reportez-vous à Liste des référentiels.

    La section des détails du référentiel s'ouvre.

  2. Pour voir les vulnérabilités détectées dans une image particulière du référentiel :

    1. Sélectionnez le référentiel dans la liste Référentiels et images une deuxième fois.

      Les images du référentiel, y compris leurs identificateurs de version, sont répertoriées sous le référentiel dans la liste Référentiels et images.

    2. Dans la liste, sélectionnez l'image.

  3. Sélectionnez l'onglet Résultats de l'analyse pour afficher un récapitulatif de chaque analyse de l'image au cours des 13 derniers mois, avec les éléments suivants :

    • Niveau de risque : niveau de risque posé par l'image, dérivé de l'agrégation des niveaux de risque des vulnérabilités individuelles trouvées dans l'analyse en un seul niveau de risque global.

    • Problèmes trouvés : nombre de vulnérabilités trouvées dans l'analyse.

    • Analyse démarrée : et Analyse terminée : lors de l'exécution de l'analyse.

  4. (Facultatif) Pour afficher plus d'informations sur les vulnérabilités trouvées dans une analyse particulière, sélectionnez Visualiser les détails dans le menu Action en regard de l'analyse dans l'onglet Résultats de l'analyse afin d'ouvrir la boîte de dialogue Détails de l'analyse affichant les éléments suivants :

    • Problème : nom donné à la vulnérabilité dans la base de données CVE. Cliquez sur le lien pour en savoir plus.

    • Niveau de risque : niveau de gravité de la vulnérabilité. Critique est le niveau le plus élevé (pour les problèmes les plus graves qui doivent être résolus en priorité), suivi de Elevée, puis Moyenne, puis Faible et enfin Mineure (indiquant les problèmes les moins graves que vous devez encore résoudre, mais qui peuvent être votre priorité la plus faible).

    • Description : description de la vulnérabilité.

  5. Sélectionnez Fermer.

Utilisation de l'interface de ligne de commande

Utilisez les commandes de l'interface de ligne de commande Vulnerability Scanning pour rechercher des vulnérabilités dans les images (reportez-vous à Cibles d'image de conteneur).

Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de ligne de commande.