Digitalizando Imagens em busca de Vulnerabilidades

Descubra como verificar vulnerabilidades de segurança em imagens em um repositório com o Container Registry.

Não é incomum que os pacotes do sistema operacional incluídos em imagens tenham vulnerabilidades. O gerenciamento dessas vulnerabilidades permite que você fortaleça a postura de segurança do seu sistema e responda rapidamente quando novas vulnerabilidades forem descobertas.

Você pode configurar o Oracle Cloud Infrastructure Registry (também conhecido como Container Registry) para verificar imagens em um repositório em busca de vulnerabilidades de segurança publicadas no banco de dados Common Vulnerabilities and Exposures (CVE) disponível publicamente.

Você ativa a varredura de imagem adicionando um scanner de imagem a um repositório. A partir daí, todas as imagens enviadas para o repositório são verificadas quanto a vulnerabilidades pelo scanner de imagens. Se o repositório já contiver imagens, as quatro imagens enviadas mais recentemente serão imediatamente verificadas em busca de vulnerabilidades.

Sempre que novas vulnerabilidades são adicionadas ao banco de dados CVE, o Container Registry verifica novamente automaticamente as imagens em repositórios que têm a verificação ativada.

Para cada imagem digitalizada, você pode visualizar:

Um resumo de cada verificação da imagem nos últimos 13 meses, mostrando o número de vulnerabilidades encontradas em cada verificação e um único nível de risco geral para cada verificação. Os resultados da varredura de imagem são mantidos por 13 meses para permitir que você compare os resultados da varredura ao longo do tempo.
Resultados detalhados de cada verificação de imagem, para ver uma descrição de cada vulnerabilidade, juntamente com seu nível de risco e (quando disponível) um link para o banco de dados de CVE para obter mais informações.

Você pode desativar a verificação de imagens em um repositório específico removendo o scanner de imagens.

Para executar a verificação de imagem, o Container Registry usa o serviço Oracle Cloud Infrastructure Vulnerability Scanning e a API REST de Verificação de Vulnerabilidade. Para obter mais informações sobre o serviço de Verificação de Vulnerabilidade, consulte Visão Geral de Verificação e Destinos de Imagem do Contêiner.

Você pode integrar a verificação de imagem ao seu ciclo de vida de desenvolvimento e implantação de software existente. Depois de criar uma imagem, sua ferramenta CI/CD pode usar o comando docker push regular para enviar a imagem para um repositório no Container Registry que tenha a verificação de imagem ativada. Sua ferramenta CI/CD pode obter os resultados da verificação de imagem usando a API REST do Vulnerability Scanning. Com base nos resultados da verificação de imagem, sua ferramenta de CI/CD pode determinar se a imagem deve ser movida para o próximo estágio do ciclo de vida.

Política Obrigatória do Serviço IAM para Verificação de Vulnerabilidades em Imagens

Se você ativar repositórios para verificação de imagem, deverá conceder ao serviço Verificação de Vulnerabilidade permissão para extrair imagens do Container Registry.

Para conceder essa permissão a todas as imagens em toda a tenancy:

allow service vulnerability-scanning-service to read repos in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy

Para conceder essa permissão a todas as imagens em um compartimento específico:

allow service vulnerability-scanning-service to read repos in compartment <compartment-name>
allow service vulnerability-scanning-service to read compartments in compartment <compartment-name>

Usando a Console para Ativar e Desativar a Verificação de Imagem

Quando você cria um novo repositório, a varredura de imagem é desativada no repositório por padrão. Você pode usar a Console para ativar a varredura de imagem de um repositório criando um novo scanner de imagem. Se a varredura de imagem já tiver sido ativada, você poderá usar a Console para desativá-la.

Para ativar a varredura de imagem de um repositório:

Na página da lista Registro de Contêiner, selecione o repositório com o qual você deseja trabalhar na lista Repositórios e imagens. Se precisar de ajuda para localizar a página de lista ou o repositório, consulte Listando Repositórios.

A seção de detalhes do repositório é aberta.
Selecione Adicionar scanner e aceite as configurações padrão (geralmente suficientes) ou especifique:
- Nome do destino: Opcionalmente, um nome para o novo scanner de imagem.
- Criar no compartimento: O compartimento no qual criar o scanner de imagem. O compartimento ao qual o repositório pertence é selecionado por padrão, mas você pode selecionar um compartimento alternativo.
- Descrição: Opcionalmente, uma descrição do scanner.
Selecione a configuração de verificação a ser usada.

Uma configuração de verificação identifica as imagens a serem verificadas, designando os compartimentos aos quais as imagens pertencem. Normalmente, você selecionará uma configuração de verificação existente ou criará uma nova configuração de verificação que designará o compartimento ao qual o próprio repositório pertence.
- Criar nova configuração de verificação: Digitalize imagens pertencentes ao compartimento ao qual o próprio repositório pertence, criando uma nova configuração de verificação. Aceite as definições padrão (geralmente suficientes) ou informe opcionalmente um nome para a nova configuração de verificação e selecione o compartimento no qual a nova configuração de verificação será criada. Todas as imagens no repositório serão verificadas.
- Selecionar configuração de verificação existente: Digitalize imagens pertencentes ao(s) compartimento(s) especificado(s) em uma configuração de verificação existente. Por padrão, você pode ver e selecionar configurações de verificação pertencentes ao mesmo compartimento do repositório.
  
  Selecione Alterar Compartimento para ver e selecionar configurações de verificação pertencentes a outros compartimentos. Todas as imagens no repositório serão verificadas, desde que o repositório pertença a um dos compartimentos designados na configuração de verificação existente selecionada.
Selecione Criar para criar o novo scanner de imagem com a configuração de verificação especificada.

A partir de agora, todas as imagens enviadas para o repositório são verificadas quanto a vulnerabilidades pelo scanner de imagens. Se o repositório já contiver imagens, as quatro imagens enviadas mais recentemente serão imediatamente verificadas em busca de vulnerabilidades.

Para desativar a verificação de imagem de um repositório:

Na página da lista Registro de Contêiner, selecione o repositório com o qual você deseja trabalhar na lista Repositórios e imagens. Se precisar de ajuda para localizar a página de lista ou o repositório, consulte Listando Repositórios.

A seção de detalhes do repositório é aberta.
Selecione Remover scanner.

Usando a Console para Exibir Resultados de Verificações de Imagem

Para exibir os resultados das verificações de imagem:

Na página da lista Registro de Contêiner, selecione o repositório com o qual você deseja trabalhar na lista Repositórios e imagens. Se precisar de ajuda para localizar a página de lista ou o repositório, consulte Listando Repositórios.

A seção de detalhes do repositório é aberta.
Para ver vulnerabilidades detectadas em uma imagem específica no repositório:
1. Selecione o repositório na lista Repositórios e imagens uma segunda vez.
  As imagens no repositório, incluindo seus identificadores de versão, são listadas no repositório na lista Repositórios e imagens.
2. Na lista, selecione a imagem.
Selecione a guia Resultados da verificação para ver um resumo de cada verificação da imagem nos últimos 13 meses, mostrando:
- Nível de risco: O nível de risco representado pela imagem, derivado da agregação dos níveis de risco de vulnerabilidades individuais encontradas na verificação em um único nível de risco geral.
- Problemas encontrados: O número de vulnerabilidades encontradas na verificação.
- Verificação iniciada: e Verificação concluída: Quando a verificação foi executada.
(Opcional) Para ver mais informações sobre as vulnerabilidades encontradas em uma verificação específica, selecione Exibir detalhes no menu Ação ao lado da verificação na guia Resultados da verificação para abrir a caixa de diálogo Detalhes da verificação mostrando:
- Problema: O nome dado à vulnerabilidade no banco de dados de CVE. Selecione o link para obter mais informações sobre ele.
- Nível de risco: O nível de severidade da vulnerabilidade. Crítico é o nível mais alto (para os problemas mais graves que devem ser sua prioridade mais alta para resolver), seguido por Alto, Médio, Baixo e, finalmente, Menor (indicando os problemas menos graves que você ainda precisa resolver, mas que podem ser sua prioridade mais baixa).
- Descrição: Uma descrição da vulnerabilidade.
Selecione Fechar.

Usando a CLI

Use os comandos da CLI de Verificação de Vulnerabilidade para verificar se há vulnerabilidades nas imagens (consulte Destinos de Imagem do Contêiner).

Para obter uma lista completa de flags e opções de variáveis para comandos da CLI, consulte a Referência de Linha de Comando.

Usando a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use a API de Verificação de Vulnerabilidade para verificar se há vulnerabilidades nas imagens (consulte Destinos de Imagem do Contêiner).