脆弱性のためのイメージのスキャン

イメージ・スキャンでリポジトリを有効にする場合は、コンテナ・レジストリからイメージをプルするための脆弱性スキャン・サービス権限を付与する必要があります。

allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy

allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

新しいリポジトリを作成すると、デフォルトでイメージ・スキャンが無効になります。コンソールを使用して、新しいイメージ・スキャナを作成することでリポジトリのイメージ・スキャンを有効にできます。イメージ・スキャンがすでに有効になっている場合は、コンソールを使用して無効にできます。

リポジトリのイメージ・スキャンを有効にするには:

1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「コンテナとアーティファクト」で、「コンテナ・レジストリ」をクリックします。
2. レジストリを含む地域を選択します。

3. リポジトリを含むコンパートメントを選択します。

   「リポジトリおよびイメージ」フィールドには、アクセス権がある選択したリージョンおよびコンパートメント内のリポジトリがリストされます。

4. リストから、リポジトリを選択します。
5. 「スキャナの追加」をクリックし、デフォルト設定(通常は十分)を受け入れるか、次を指定します:
   • ターゲット名:オプションで、新しいイメージ・スキャナの名前。
   • コンパートメントに作成:イメージ・スキャナを作成するコンパートメント。リポジトリが属するコンパートメントがデフォルトで選択されますが、代替コンパートメントを選択できます。
   • 説明:オプションで、スキャナの説明。
6. 使用するスキャン構成を選択します。スキャン構成では、イメージが属するコンパートメントを指定して、スキャンするイメージを識別します。通常は、既存のスキャン構成を選択するか、リポジトリ自体が属するコンパートメントを指定する新しいスキャン構成を作成します。
   • 新規スキャン構成の作成:新しいスキャン構成を作成して、リポジトリ自体が属するコンパートメントに属するイメージをスキャンします。デフォルト設定(通常は十分)を受け入れるか、オプションで新しいスキャン構成の名前を入力し、新しいスキャン構成を作成するコンパートメントを選択します。リポジトリ内のすべてのイメージがスキャンされます。
   • 既存のスキャン構成の選択:既存のスキャン構成で指定されたコンパートメントに属するイメージをスキャンします。デフォルトでは、リポジトリと同じコンパートメントに属するスキャン構成を表示および選択できます。「コンパートメントの変更」をクリックして、他のコンパートメントに属するスキャン構成を表示および選択します。リポジトリが、選択した既存のスキャン構成内の指定されたコンパートメントのいずれかに属していれば、リポジトリ内のすべてのイメージがスキャンされます。

7. 「作成」をクリックして、指定したスキャン構成で新しいイメージ・スキャナを作成します。

   これ以降、リポジトリにプッシュされたイメージは、イメージ・スキャナによって脆弱性がスキャンされます。リポジトリにすでにイメージが含まれている場合、最近プッシュされた4つのイメージがすぐに脆弱性がスキャンされます。

リポジトリのイメージ・スキャンを無効にするには:

1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「コンテナとアーティファクト」で、「コンテナ・レジストリ」をクリックします。
2. レジストリを含む地域を選択します。

3. リポジトリを含むコンパートメントを選択します。

   「リポジトリおよびイメージ」フィールドには、アクセス権がある選択したリージョンおよびコンパートメント内のリポジトリがリストされます。

4. リストから、リポジトリを選択します。
5. 「スキャナの削除」をクリックします。

イメージ・スキャンの結果を表示するには:

1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「コンテナとアーティファクト」で、「コンテナ・レジストリ」をクリックします。
2. レジストリを含む地域を選択します。
3. リポジトリ内の特定のイメージで検出された脆弱性を確認するには:

   1. リポジトリを含むコンパートメントを選択します。

      「リポジトリおよびイメージ」フィールドには、アクセス権がある選択したリージョンおよびコンパートメント内のリポジトリがリストされます。

   2. スキャン結果を表示するイメージを含むリポジトリの名前の横にあるプラス(+)ボタンをクリックします。

      リポジトリの名前の下に、各イメージのバージョン識別子で識別されるリポジトリ内のイメージがリストされます。

   3. リストからイメージを選択してください。
4. 「スキャン結果」タブを表示して、過去13か月間のイメージの各スキャンのサマリーを表示します。次が表示されます:
   • リスク・レベル:イメージによって発生するリスク・レベル。スキャンで見つかった個々の脆弱性のリスク・レベルを1つの全体的なリスク・レベルに集計することによって導出されます。
   • 検出された問題:スキャンで見つかった脆弱性の数。
   • スキャン開始:および スキャン終了:スキャンの実行日時。
5. (オプション)特定のスキャンで見つかった脆弱性の詳細を表示するには、「スキャン結果」タブのスキャンの横にある「アクション」メニューから「詳細の表示」を選択して、次を示す「スキャンの詳細」ダイアログを表示します:
   • 問題: CVEデータベースの脆弱性に指定された名前。リンクをクリックすると、その詳細を参照できます。
   • リスク・レベル:脆弱性の重大度レベル。「クリティカル」は、最上位レベルです(解決する優先度が最も高い最も深刻な問題の場合)、次に「高」、「中」、「低」、最後に「マイナー」が続きます(解決する必要がある最も深刻な問題を示しますが、最も低い優先度になる可能性があります)。
   • 説明:脆弱性の説明。
6. 「閉じる」をクリックします。

脆弱性スキャンCLIコマンドを使用して、イメージで脆弱性をスキャンします(コンテナ・イメージ・ターゲットを参照)。

CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

脆弱性スキャンAPIを使用して、イメージで脆弱性をスキャンします(コンテナ・イメージ・ターゲットを参照)。