脆弱性のためのイメージのスキャン

イメージ・スキャン用のリポジトリを有効にする場合、コンテナ・レジストリからイメージをプルする権限をVulnerability Scanningサービスに付与する必要があります。

allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy

allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

新しいリポジトリを作成すると、イメージ・スキャンはデフォルトで無効になります。コンソールを使用して、新しいイメージ・スキャナを作成することでリポジトリのイメージ・スキャンを有効にできます。イメージ・スキャンがすでに有効になっている場合は、コンソールを使用して無効にできます。

リポジトリのイメージ・スキャンを有効にするには:

1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「コンテナとアーティファクト」で、「コンテナ・レジストリ」をクリックします。
2. レジストリを含むリージョンを選択します。

3. リポジトリを含むコンパートメントを選択します。

   「リポジトリおよびイメージ」フィールドには、アクセス権がある選択したリージョンおよびコンパートメント内のリポジトリがリストされます。

4. リストから、リポジトリを選択します。
5. 「スキャナの追加」をクリックし、デフォルト設定を受け入れるか(通常は十分)、次を指定します:
   • ターゲット名:オプションで、新しいイメージ・スキャナの名前。
   • コンパートメントに作成:イメージ・スキャナを作成するコンパートメント。リポジトリが属するコンパートメントがデフォルトで選択されますが、別のコンパートメントを選択することもできます。
   • 説明:オプションでスキャナの説明。
6. 使用するスキャン構成を選択します。スキャン構成では、イメージが属するコンパートメントを指定して、スキャンするイメージを識別します。通常は、リポジトリ自体が属するコンパートメントを指定する既存のスキャン構成を選択するか、新しいスキャン構成を作成します。
   • 新規スキャン構成の作成:新しいスキャン構成を作成して、リポジトリ自体が属するコンパートメントに属するイメージをスキャンします。デフォルト設定(通常は十分)をそのまま使用するか、オプションで新しいスキャン構成の名前を入力し、新しいスキャン構成を作成するコンパートメントを選択します。リポジトリ内のすべてのイメージがスキャンされます。
   • 既存のスキャン構成の選択:既存のスキャン構成で指定されたコンパートメントに属するイメージをスキャンします。デフォルトでは、リポジトリと同じコンパートメントに属するスキャン構成を表示および選択できます。「コンパートメントの変更」をクリックして、他のコンパートメントに属するスキャン構成を表示および選択します。リポジトリが、選択した既存のスキャン構成内の指定したコンパートメントのいずれかに属している場合、リポジトリ内のすべてのイメージがスキャンされます。

7. 「作成」をクリックして、指定したスキャン構成で新しいイメージ・スキャナを作成します。

   これ以降、リポジトリにプッシュされたイメージは、イメージ・スキャナによって脆弱性がスキャンされます。リポジトリにすでにイメージが含まれている場合、最近プッシュされた4つのイメージの脆弱性がただちにスキャンされます。

リポジトリのイメージ・スキャンを無効にするには:

1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「コンテナとアーティファクト」で、「コンテナ・レジストリ」をクリックします。
2. レジストリを含むリージョンを選択します。

3. リポジトリを含むコンパートメントを選択します。

   「リポジトリおよびイメージ」フィールドには、アクセス権がある選択したリージョンおよびコンパートメント内のリポジトリがリストされます。

4. リストから、リポジトリを選択します。
5. 「スキャナの削除」をクリックします。

イメージ・スキャンの結果を表示するには:

1. ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「コンテナとアーティファクト」で、「コンテナ・レジストリ」をクリックします。
2. レジストリを含むリージョンを選択します。
3. リポジトリ内の特定のイメージで検出された脆弱性を表示するには:

   1. リポジトリを含むコンパートメントを選択します。

      「リポジトリおよびイメージ」フィールドには、アクセス権がある選択したリージョンおよびコンパートメント内のリポジトリがリストされます。

   2. スキャン結果を表示するイメージを含むリポジトリの名前の横にあるプラス(+)ボタンをクリックします。

      リポジトリの名前の下に、各イメージのバージョン識別子で識別されるリポジトリ内のイメージがリストされます。

   3. リストからイメージを選択してください。
4. 「結果のスキャン」タブを表示して、過去13か月間のイメージの各スキャンのサマリーを表示します。次が表示されます:
   • リスク・レベル:イメージによって示されるリスク・レベルで、スキャンで見つかった個々の脆弱性のリスク・レベルを単一の全体的なリスク・レベルに集計することで導出されます。
   • 問題が見つかりました:スキャンで見つかった脆弱性の数。
   • スキャンが開始されました: スキャンが終了しました:スキャンが実行された時間。
5. (オプション)特定のスキャンで見つかった脆弱性の詳細を表示するには、「結果のスキャン」タブのスキャンの横にある「アクション」メニューから「詳細の表示」を選択し、「詳細のスキャン」ダイアログを表示します:
   • 問題: CVEデータベースの脆弱性に付けられた名前。リンクをクリックすると、その詳細を参照できます。
   • リスク・レベル:脆弱性の重大度レベル。「クリティカル」は、最も高いレベル(解決に最も優先される最も重大な問題)で、「高」、「中」、「低」、「マイナー」の順に続きます(解決する必要のある重大度が最も低い問題を示しますが、優先度が最も低い可能性があります)。
   • Description:脆弱性の説明。
6. 「Close」をクリックします。

脆弱性スキャンCLIコマンドを使用して、脆弱性のイメージをスキャンします(コンテナ・イメージ・ターゲットを参照)。

CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

イメージで脆弱性をスキャンするには、脆弱性スキャンAPIを使用します(コンテナ・イメージ・ターゲットを参照)。