Varredura de imagem do contêiner para decomposição de software

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • . Visibilidade do ITOM aplicações, Padrões de descoberta e mapeamento de serviços E o agente de visibilidade do Kubernetes se integram ao Aqua Trivy Para coletar dados em imagens de contêiner e pacotes de SO. Você pode aumentar seu controle sobre a implantação do contêiner tendo visibilidade dos componentes do contêiner.

    Verificação de imagem do contêiner para diagrama de decomposição de software

    Benefícios da verificação de imagens

    Verificar seus contêineres oferece visibilidade sobre o que está dentro Kubernetes ou Docker Pacotes de SO ou contêineres. Digitalizar imagens pode ajudá-lo de várias maneiras.
    • Ele ajuda a identificar o software instalado em contêineres para casos de uso regulatórios e de conformidade.
    • Ele ajuda você a aderir às políticas da empresa, como o uso de imagens douradas, software desatualizado, rótulos obrigatórios ou políticas de configuração​.
    • Ele também ajuda a gerenciar o software licenciado em execução em contêineres​.
    • Você também pode obter o contexto de serviço​usando marcadores e malha de serviço para entender o impacto deles em sua organização.

    Casos de uso de verificação de imagem com Visibilidade do ITOM

    Você pode usar dois Visibilidade do ITOM aplicativos para verificar imagens de contêiner, Padrões de descoberta e mapeamento de serviços e. Kubernetes Agente de visibilidade. Padrões é um conjunto de recursos usado por Descoberta, Descoberta na nuvem e Mapeamento de serviços. Kubernetes O agente de visibilidade é um recurso do Agent Client Collector. Enquanto Kubernetes O agente de visibilidade (anteriormente conhecido como CNO-V) é mais adequado para Kubernetes E cargas de trabalho dinâmicas em contêiner, a descoberta baseada em padrões é mais adequada para não Kubernetes Docker contêineres.

    Caso de uso nº 1
    Depois que uma aplicação é empacotada em imagens de contêiner, um profissional de segurança pode verificar a imagem de base, bem como a imagem final, em busca de vulnerabilidades e identificar pacotes de SO, dependências de software e registros de aplicações. Isso é especificamente para MSSQL Server em contêiner.
    Tabela 1. Métodos de visibilidade para o caso de uso nº 1
    Métodos de visibilidade Características do método O que foi descoberto
    Padrões de descoberta e mapeamento de serviços e. Aqua Trivy:
    • Mais adequado para auto-hospedado ou na nuvem Kubernetes implantações com acesso a tokens e credenciais do portador.
    • Oferece suporte à verificação de imagens de repositório público e auto-hospedado.
    • Descoberta baseada em padrões sem descoberta em nuvem:
      • Usa um token de portador.
      • Criado manualmente Kubernetes programação da descoberta por cluster.
    • Descoberta baseada em padrões com a Descoberta em nuvem:
      • Token de portador necessário.
      • Usa credenciais de nuvem.
      • Criação automática de Kubernetes programação da descoberta.
    • Para obter mais informações sobre como digitalizar imagens usando Aqua Trivy, consulte Verificar imagens do contêiner.

    Descoberto usando Padrões de descoberta e mapeamento de serviços:

    • Kubernetes clusters
    • Kubernetes Serviços
    • Kubernetes topologia
    • Docker contêineres e imagens
    • Kubernetes Implantação, incluindo OpenShift
    • Namespace
    • Rótulos e marcadores
    • Software em contêineres
    • Os detalhes da região da conta só podem ser descobertos por Descoberta na nuvem
    • O padrão do Docker coleta dados sobre objetos específicos em um mecanismo do Docker, em execução em um host Linux
    Para obter mais informações, consulte:
    Kubernetes Agente de visibilidade e. Aqua Trivy:
    • Mais adequado para implantação por equipes de aplicações nativas na nuvem.
    • Capacidade opcional de monitorar Kubernetes Com AIOps.
    • Somente o AWS ECR (público e privado) é compatível com ambientes de nuvem.

    Kubernetes A descoberta baseada no agente de visibilidade não requer a configuração de credenciais e não é necessário MID Server. O acesso é por ServiceAccount/ClusterRole. A instalação é via Helm Chart ou Kubernetes Arquivo YAML. A descoberta é executada quase em tempo real.

    Usar Kubernetes Explorer para baixar SBOM.

    Descoberto usando Kubernetes Agente de visibilidade

    • Kubernetes Namespaces
    • Nós e pods
    • Implantações
    • Statefulsets
    • Demonsets
    • Replicasets
    • Trabalhos
    • Cronjobs
    • Serviços
    • Docker contêiner
    • Imagem de Docker
    • Repositório de contêiner
    • Os detalhes da região da conta só podem ser descobertos por Descoberta na nuvem
    Caso de uso nº 2
    Um diretor de conformidade pode gerar um  SBOM obter uma lista detalhada das dependências da imagem do contêiner e garantir que o software esteja em conformidade com as regulamentações do setor.
    Tabela 2. Métodos de visibilidade para o caso de uso nº 2
    Método de visibilidade Características do método
    Kubernetes padrão ou Docker padrão SBOM a criação faz parte da verificação do contêiner.
    Kubernetes Agente de visibilidade SBOM a criação também faz parte da verificação de contêiner, Usar o ACC é mais adequado para organizações que precisam de flexibilidade para executar descobertas completas e contínuas.
    Caso de uso nº 3

    Um engenheiro encontrou um defeito em uma imagem personalizada e precisa encontrar tudo Kubernetes pods que estão sendo executados usando essa imagem.

    Tabela 3. Métodos de visibilidade para o caso de uso nº 3
    Método de visibilidade Características do método O que foi descoberto
    Kubernetes padrão Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando padrões.
    • Kubernetes Clusters
    • Kubernetes Contêineres
    • Kubernetes Serviços
    • Rótulos
    • Pods
    • Imagens
    • Marcadores
    Kubernetes Padrão com descoberta em nuvem Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando padrões. Todos os detalhes acima e da conta ou região
    Caso de uso nº 4
    Um engenheiro encontra um defeito em uma imagem personalizada e precisa encontrar tudo Docker contêineres (não Kubernetes que estão sendo executados usando essa imagem.
    Método de visibilidade Características do método O que foi descoberto
    Descoberta horizontal da VM em execução Docker( Docker padrão) Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando padrões. Consulte: Virtualização do Docker

    Varredura de imagem com Padrões de descoberta e mapeamento de serviços

    Kubernetes e. Docker os padrões se integram ao Aqua Trivy E execute trabalhos agendados para descobrir imagens de contêiner e pacotes de SO em intervalos fixos de 10 imagens por minuto. Durante a verificação, o padrão indica o status da verificação. O padrão descobre pacotes de SO relacionados a uma imagem. Em seguida, ele encontra os atributos do comando de imagem, como a classe de IC. Com base nos atributos do comando, o padrão cria registros da aplicação. Além disso, o padrão usa scripts aprimorados para adicionar detalhes aos registros da aplicação. Depois disso, o padrão mapeia as relações entre os pacotes do SO e os contêineres.

    Parte dos dados é preenchida em CMDB Tabelas e parte dele em tabelas de transformação (tabelas temporárias não pertencentes ao CMDB). As tabelas de transformação são instaladas com o padrão . Por exemplo, as informações obtidas pela verificação incluem o registro de origem, o nome do software e a versão.