Verificando Imagens de Função em busca de Vulnerabilidades

Descubra como ativar e desativar verificações de imagens de função enviadas ao Container Registry usando o OCI Functions e como verificar os resultados da verificação de vulnerabilidades encontradas nessas imagens de função.

No OCI Functions, a definição de uma função especifica a imagem do Docker para enviar e extrair de um repositório no Oracle Cloud Infrastructure Registry.

Você pode configurar o Oracle Cloud Infrastructure Registry (também conhecido como Container Registry) para verificar imagens de função quando elas são enviadas para o repositório de uma função. As imagens de função são verificadas quanto a vulnerabilidades de segurança publicadas no banco de dados Common Vulnerabilities and Exposures (CVE) disponível publicamente. Consulte Verificando Se Há Vulnerabilidades em Imagens.

Para executar a verificação de imagem de função, o Container Registry usa o serviço Oracle Cloud Infrastructure Vulnerability Scanning e a API REST do Vulnerability Scanning (consulte Alvos de Imagem do Contêiner na documentação do serviço Vulnerability Scanning). Observe que você deve conceder ao serviço Vulnerability Scanning permissão para extrair imagens do Container Registry (consulte Política de IAM Obrigatória para Verificar Vulnerabilidades de Imagens de Função).

Ative a varredura de imagem de função adicionando um scanner de imagem ao repositório da função. A partir daí, todas as imagens enviadas para esse repositório são verificadas quanto a vulnerabilidades pelo scanner de imagens. Se o repositório já contiver imagens, as quatro imagens enviadas mais recentemente serão imediatamente verificadas em busca de vulnerabilidades. Você pode desativar a verificação de imagens em um repositório específico removendo o scanner de imagens. Consulte Usando a Console para Ativar e Desativar a Verificação de Imagem.

Sempre que novas vulnerabilidades são adicionadas ao banco de dados CVE, o Container Registry verifica novamente automaticamente as imagens em repositórios que têm a verificação ativada.

Você pode exibir os resultados das verificações de imagem na Console (consulte Usando a Console para Exibir Resultados das Verificações de Imagem). Para cada imagem de função digitalizada, você pode exibir:

• Um resumo de cada verificação da imagem nos últimos 13 meses, mostrando o número de vulnerabilidades encontradas em cada verificação e um único nível de risco geral para cada verificação. Os resultados da varredura de imagem são mantidos por 13 meses para permitir que você compare os resultados da varredura ao longo do tempo.
• Resultados detalhados de cada verificação de imagem, para ver uma descrição de cada vulnerabilidade, juntamente com seu nível de risco e (quando disponível) um link para o banco de dados de CVE para obter mais informações.

Sempre use as imagens base de tempo de compilação e runtime mais recentes do FDK para reduzir o número de vulnerabilidades conhecidas incluídas em uma imagem e reportadas nos resultados da verificação. Consulte Como fazer upgrade de uma função existente para usar a versão mais recente da imagem base de tempo de compilação e runtime do FDK para um idioma suportado.