Documentazione di Oracle Cloud Infrastructure

Scansione delle immagini per individuare le vulnerabilità

Scopri come eseguire la scansione delle immagini in un repository per rilevare le vulnerabilità della sicurezza con Container Registry.

Non è raro che i pacchetti del sistema operativo inclusi nelle immagini presentino vulnerabilità. La gestione di queste vulnerabilità consente di rafforzare il livello di sicurezza del sistema e di rispondere rapidamente quando vengono rilevate nuove vulnerabilità.

Puoi impostare Oracle Cloud Infrastructure Registry (noto anche come Container Registry) per la scansione delle immagini in un repository per rilevare le vulnerabilità della sicurezza pubblicate nel database CVE (Common Vulnerabilities and Exposures) disponibile al pubblico.

Per abilitare la scansione delle immagini, aggiungere uno scanner di immagini a un repository. Da quel momento in poi, le immagini inviate al repository vengono scansionate per rilevare eventuali vulnerabilità dallo scanner di immagini. Se il repository contiene già immagini, le quattro immagini sottoposte a PUSH più di recente vengono immediatamente sottoposte a scansione per rilevare eventuali vulnerabilità.

Ogni volta che vengono aggiunte nuove vulnerabilità al database CVE, Container Registry riesegue automaticamente la scansione delle immagini nei repository con scansione abilitata.

Per ogni immagine digitalizzata è possibile visualizzare:

  • Un riepilogo di ogni scansione dell'immagine negli ultimi 13 mesi, che mostra il numero di vulnerabilità trovate in ogni scansione e un singolo livello di rischio complessivo per ogni scansione. I risultati della scansione delle immagini vengono conservati per 13 mesi per consentire di confrontare i risultati della scansione nel tempo.
  • Risultati dettagliati di ogni scansione delle immagini, per visualizzare una descrizione di ogni vulnerabilità, insieme al relativo livello di rischio e (se disponibile) un collegamento al database CVE per ulteriori informazioni.

È possibile disabilitare la scansione delle immagini in un determinato repository rimuovendo lo scanner delle immagini.

Per eseguire l'analisi delle immagini, Container Registry utilizza il servizio Oracle Cloud Infrastructure Vulnerability Scanning e l'API REST di analisi delle vulnerabilità. Per ulteriori informazioni sul servizio di analisi delle vulnerabilità, vedere Panoramica dell'analisi e Obiettivi immagine del contenitore.

Puoi integrare la scansione delle immagini nel ciclo di vita di sviluppo e distribuzione del software esistente. Dopo aver creato un'immagine, lo strumento CI/CD può utilizzare il normale comando docker push per eseguire il push dell'immagine in un repository in Container Registry per il quale è abilitata la scansione delle immagini. Lo strumento CI/CD può ottenere i risultati della scansione delle immagini utilizzando l'API REST di analisi delle vulnerabilità. In base ai risultati della scansione delle immagini, lo strumento CI/CD può quindi determinare se spostare l'immagine nella fase successiva del ciclo di vita.

Criterio IAM richiesto per la scansione delle immagini per la ricerca di vulnerabilità

Se si abilitano i repository per la scansione delle immagini, è necessario concedere al servizio di analisi delle vulnerabilità l'autorizzazione per estrarre le immagini da Container Registry.

Per concedere questa autorizzazione per tutte le immagini dell'intera tenancy:
allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy
Per concedere questa autorizzazione per tutte le immagini in un compartimento specifico, effettuare le operazioni riportate di seguito.
allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

Uso della console per abilitare e disabilitare la scansione delle immagini

Quando si crea un nuovo repository, la scansione delle immagini è disabilitata per impostazione predefinita. È possibile utilizzare la console per abilitare la scansione delle immagini per un repository creando un nuovo scanner di immagini. Se la scansione delle immagini è già stata abilitata, è possibile utilizzare la console per disabilitarla.

Per abilitare la scansione delle immagini per un repository:

  1. Nella pagina della lista Container Registry, selezionare il repository che si desidera utilizzare dalla lista Repository e immagini. Per informazioni su come trovare la pagina della lista o il repository, vedere Elenco dei repository.

    Viene visualizzata la sezione Dettagli del repository.

  2. Selezionare Aggiungi scanner e accettare le impostazioni predefinite (di solito sufficienti) oppure specificare:

    • Nome destinazione: facoltativamente, un nome per il nuovo scanner di immagini.

    • Crea nel compartimento: compartimento in cui creare lo scanner di immagini. Il compartimento a cui appartiene il repository è selezionato per impostazione predefinita, ma è possibile selezionare un compartimento alternativo.

    • Descrizione: facoltativamente, una descrizione dello scanner.

  3. Selezionare la configurazione di scansione da utilizzare.

    Una configurazione di scansione identifica le immagini da scansionare, designando i compartimenti a cui appartengono le immagini. In genere si seleziona una configurazione di scansione esistente o si crea una nuova configurazione di scansione che designa il compartimento a cui appartiene il repository stesso.

    • Crea nuova configurazione di scansione: esegue la scansione delle immagini appartenenti al compartimento a cui appartiene il repository stesso creando una nuova configurazione di scansione. Accettare le impostazioni predefinite (di solito sufficienti) o, facoltativamente, immettere un nome per la nuova configurazione di scansione e selezionare il compartimento in cui creare la nuova configurazione di scansione. Tutte le immagini nel repository verranno sottoposte a scansione.

    • Seleziona configurazione scansione esistente: esegue la scansione delle immagini appartenenti ai compartimenti specificati in una configurazione di scansione esistente. Per impostazione predefinita, è possibile visualizzare e selezionare le configurazioni di scansione appartenenti allo stesso compartimento del repository.

      Selezionare Modifica compartimento per visualizzare e selezionare le configurazioni di scansione appartenenti ad altri compartimenti. Tutte le immagini nel repository verranno sottoposte a scansione, a condizione che il repository appartenga a uno dei compartimenti designati nella configurazione di scansione esistente selezionata.

  4. Selezionare Crea per creare il nuovo scanner di immagini con la configurazione di scansione specificata.

    D'ora in poi, le immagini inviate al repository vengono scansionate per rilevare eventuali vulnerabilità dallo scanner di immagini. Se il repository contiene già immagini, le quattro immagini sottoposte a PUSH più di recente vengono immediatamente sottoposte a scansione per rilevare eventuali vulnerabilità.

Per disabilitare la scansione delle immagini per un repository:

  1. Nella pagina della lista Container Registry, selezionare il repository che si desidera utilizzare dalla lista Repository e immagini. Per informazioni su come trovare la pagina della lista o il repository, vedere Elenco dei repository.

    Viene visualizzata la sezione Dettagli del repository.

  2. Selezionare Rimuovi scanner.

Utilizzo della console per visualizzare i risultati delle scansioni di immagini

Per visualizzare i risultati delle scansioni di immagini:

  1. Nella pagina della lista Container Registry, selezionare il repository che si desidera utilizzare dalla lista Repository e immagini. Per informazioni su come trovare la pagina della lista o il repository, vedere Elenco dei repository.

    Viene visualizzata la sezione Dettagli del repository.

  2. Per visualizzare le vulnerabilità rilevate in una determinata immagine nel repository, effettuare le operazioni riportate di seguito.

    1. Selezionare il repository nella lista Repository e immagini una seconda volta.

      Le immagini nel repository, inclusi gli identificativi di versione, sono elencate nel repository nella lista Repository e immagini.

    2. Dalla lista, selezionare l'immagine.

  3. Selezionare la scheda Esegui scansione risultati per visualizzare un riepilogo di ogni scansione dell'immagine negli ultimi 13 mesi, mostrando:

    • Livello di rischio: il livello di rischio rappresentato dall'immagine, derivato aggregando i livelli di rischio delle singole vulnerabilità rilevate nella scansione in un unico livello di rischio complessivo.

    • Problemi trovati: il numero di vulnerabilità rilevate nella scansione.

    • Scansione avviata: e Scansione terminata: al momento dell'esecuzione della scansione.

  4. (Facoltativo) Per visualizzare ulteriori informazioni sulle vulnerabilità rilevate in una determinata scansione, selezionare Visualizza dettagli dal menu Azione accanto alla scansione nella scheda Esegui scansione dei risultati per aprire la finestra di dialogo Esegui scansione dettagli con le informazioni riportate di seguito.

    • Problema: il nome assegnato alla vulnerabilità nel database CVE. Selezionare il collegamento per ulteriori informazioni.

    • Livello di rischio: il livello di severità della vulnerabilità. Critico è il livello più alto (per i problemi più gravi che devono essere risolti con la massima priorità), seguito da Alto, Medio, Basso e infine Minore (indicando i problemi meno gravi che è ancora necessario risolvere, ma che possono essere la priorità più bassa).

    • Descrizione: la descrizione della vulnerabilità.

  5. Selezionare Chiudi.