Scansione delle immagini delle funzioni per le vulnerabilità

Scopri come abilitare e disabilitare le scansioni delle immagini delle funzioni inviate a Container Registry utilizzando le funzioni OCI e come controllare i risultati della scansione per verificare le vulnerabilità trovate in tali immagini delle funzioni.

In OCI Functions, la definizione di una funzione specifica l'immagine Docker da cui eseguire il push e il pull da un repository in Oracle Cloud Infrastructure Registry.

È possibile impostare Oracle Cloud Infrastructure Registry (noto anche come Container Registry) per la scansione delle immagini delle funzioni quando viene eseguito il push nel repository di una funzione. Le immagini delle funzioni vengono analizzate per individuare le vulnerabilità della sicurezza pubblicate nel database CVE (Common Vulnerabilities and Exposures) disponibile al pubblico. Vedere Analisi delle immagini per individuare le vulnerabilità.

Per eseguire la scansione delle immagini delle funzioni, Container Registry utilizza il servizio Oracle Cloud Infrastructure Vulnerability Scanning e l'API REST di Vulnerability Scanning (vedere Destinazioni immagine contenitore nella documentazione del servizio Vulnerability Scanning). Tenere presente che è necessario concedere al servizio di analisi delle vulnerabilità l'autorizzazione per estrarre le immagini da Container Registry (vedere Criterio IAM obbligatorio per le immagini delle funzioni di scansione per le vulnerabilità).

Per abilitare la scansione delle immagini delle funzioni, aggiungere uno scanner di immagini al repository della funzione. Da quel momento in poi, tutte le immagini inviate a quel repository vengono scansionate per rilevare le vulnerabilità dallo scanner di immagini. Se il repository contiene già immagini, le quattro immagini sottoposte a PUSH più di recente vengono immediatamente sottoposte a scansione per rilevare eventuali vulnerabilità. È possibile disabilitare la scansione delle immagini in un determinato repository rimuovendo lo scanner delle immagini. Vedere Uso della console per abilitare e disabilitare la scansione delle immagini.

Ogni volta che vengono aggiunte nuove vulnerabilità al database CVE, Container Registry riesegue automaticamente la scansione delle immagini nei repository con scansione abilitata.

È possibile visualizzare i risultati delle scansioni di immagini nella console (vedere Utilizzo della console per visualizzare i risultati delle scansioni di immagini). Per ogni immagine di funzione digitalizzata, è possibile visualizzare:

• Un riepilogo di ogni scansione dell'immagine negli ultimi 13 mesi, che mostra il numero di vulnerabilità trovate in ogni scansione e un singolo livello di rischio complessivo per ogni scansione. I risultati della scansione delle immagini vengono conservati per 13 mesi per consentire di confrontare i risultati della scansione nel tempo.
• Risultati dettagliati di ogni scansione delle immagini, per visualizzare una descrizione di ogni vulnerabilità, insieme al relativo livello di rischio e (se disponibile) un collegamento al database CVE per ulteriori informazioni.

Utilizza sempre le immagini di base FDK più recenti in fase di creazione e runtime per ridurre il numero di vulnerabilità note incluse in un'immagine e riportate nei risultati della scansione. Vedere Come aggiornare una funzione esistente per utilizzare la build time FDK più recente e la versione dell'immagine di base runtime per una lingua supportata.