Container Vulnerability Response erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Die Anwendung Container Vulnerability Response importiert angreifbare Container-Elemente (CVITs). Gemäß den Regeln können Sie mit dieser Funktion die Container-Schwachstellen beheben. Container Vulnerability Response ist über ein separates Abonnement verfügbar.

    Im Gegensatz zu herkömmlichen Anwendungen packen Container den gesamten Anwendungsquellcode zusammen mit ihren Abhängigkeiten in eine Binärdatei, die als Containerimage bezeichnet wird. Das Image wird in einer Registrierung veröffentlicht, um eine Option zum Ausführen des Image als Anwendung oder Containerinstanz auf einer beliebigen Plattform bereitzustellen. Ein Container-Lebenszyklus vor der Bereitstellung wird in folgenden Phasen unterteilt:
    1. Containerimage zusammenstellen: Das Containerimage wird erstellt, und es wird auf einen Quellcode oder eine abhängige Bibliothek verwiesen.
    2. Containerimage erstellen
    3. Containerimage veröffentlichen: Die Container-Image-Datei wird in einer Registrierung veröffentlicht. Jedes Bild hat eine eigene eindeutige ID, die auf dem Inhalt des Bilds basiert. Diese Bilder werden im Modus nach der Bereitstellung aus der Registrierung in die Laufzeitumgebung abgerufen. Die Bilder werden dann als Containerinstanzen auf dem Host in der Produktionsumgebung ausgeführt.

    Containerbilder werden gescannt

    Ein Containerimage kann vor oder nach der Bereitstellung auf Schwachstellen gescannt werden. Wenn Containerbilder während der Phase vor der Bereitstellung gescannt werden, erhalten Sie möglicherweise viele Schwachstellenwarnungen, die möglicherweise nicht Ihre sofortige Aufmerksamkeit erfordern. Das Scannen auf Schwachstellen während der Phase nach der Bereitstellung bietet jedoch noch größere Vorteile, z. B.:
    • Transparenz der mit den bereitgestellten Anwendungen verbundenen Risiken.
    • Bereitstellung einer fokussierten Ansicht nur für die Bilder in der Produktionsumgebung.
    • Identifiziert und priorisiert die Schwachstellen, auf die sofort reagiert werden muss.
    • Gruppierung und Zuweisung von Schwachstellen basierend auf den Metadaten des Image. Beispielsweise können ein Image-Repository, eine Image-Bezeichnung und andere Attribute, die sich auf das Containerimage beziehen, für Gruppierungs- und Zuweisungsregeln verwendet werden.
    Jedes Containerimage weist die folgenden Schlüsselkomponenten auf:
    • Container- oder Image-Repository: Stellt das Docker-Image mit einem bestimmten Repository oder Namen dar. Hostet alle Versionen des -Images.
    • Docker-Image: Stellt eine bestimmte Version des Build-Docker-Image dar.
    • Docker-Container: Stellt eine laufende Instanz des Docker-Image dar. Jede Version hat eine eindeutige ID, und in der Produktionsumgebung werden mehrere Instanzen der Container ausgeführt.

    Container Vulnerability Response Module

    Das Modul Container Vulnerability Response enthält Details zu folgenden Themen:
    Angreifbare Container-Elemente
    Die angreifbaren Elemente in Containern (Container Vulnerable Items, CVITs) werden gruppiert und basierend auf Zuweisung, Relevanz, Ausnutzbarkeit und Nachbesserungsstatus aufgelistet.
    Bibliotheken
    Erhalten Sie Zugriff auf die National Vulnerability Database (NVD) und Bibliotheken von Drittparteien. Während die NVD-Bibliothek Informationen bietet, die auf die ID des angreifbaren Elements beschränkt sind, bietet die Drittanbieterbibliothek die meisten Details zu einem angreifbaren Element. Der NVD-Bildschirm wird nur gefüllt, wenn die NVD-Integration ausgelöst wird.
    Administration
    Das -Modul „Administration“ enthält Informationen zu Zuweisungsregeln für angreifbare Elemente, zu Korrekturzielregeln und zu Container-Schwachstellen-Integrationen. Darüber hinaus können Sie auch die Dauer konfigurieren, nach der ein angreifbares Element automatisch geschlossen werden soll. Im Abschnitt VI-Granularität konfigurieren können Sie die Granularität von CVITs konfigurieren, indem Sie die Tastenkombinationen angeben. Standardmäßig wird eine CVIT für eine Kombination aus einem Image-Repository, einem Image-Tag und einer Schwachstelle erstellt. Sie können dem Schlüssel zusätzliche Komponenten hinzufügen, um die Granularität zu erhöhen. Sie können beispielsweise eine CVIT für eine Kombination aus Image-Repository, Image-Tag, Schwachstelle und Cluster erstellen.

    Verfügbare Versionen

    Release-Version Releasehinweise

    Container Vulnerability Response v2.1

    Container Vulnerability Response v2.06

    Container Vulnerability Response v2.0.4