Container-Image-Scan für Softwareaufgliederung

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 4 Minuten Lesedauer

    • Die ITOM-Transparenz Apps, Muster für Discovery und Service-Mapping Und Kubernetes Transparency Agent werden mit integriert Aqua Trivy Dient zum Sammeln von Daten zu Container-Images und BS-Paketen. Sie können Ihre Kontrolle über die Containerbereitstellung erhöhen, indem Sie Transparenz für die Containerkomponenten haben.

    Container-Image-Scan für Software-Aufschlüsselungsdiagramm

    Vorteile des Bildscans

    Durch das Scannen Ihrer Container erhalten Sie Einblick in das Innere Kubernetes Oder Docker Container oder BS-Pakete. Das Scannen von Bildern kann Ihnen auf verschiedene Arten helfen.
    • Es hilft Ihnen, Software zu identifizieren, die in Containern für regulatorische und Compliance-Anwendungsfälle installiert ist.
    • Es hilft Ihnen, Unternehmensrichtlinien wie die Verwendung von Golden Images, veralteter Software, obligatorischen Bezeichnungen oder Konfigurationsrichtlinien​einzuhalten.
    • Außerdem können Sie lizenzierte Software verwalten, die in Containern ausgeführt wird​.
    • Sie können den Servicekontext auch abrufen​, indem Sie Tags und Service-Mesh verwenden, um ihre Auswirkungen auf Ihre Organisation zu verstehen.

    Anwendungsfälle zum Scannen von Bildern mit ITOM-Transparenz

    Sie können zwei verwenden ITOM-Transparenz Apps zum Scannen von Containerbildern, Muster für Discovery und Service-Mapping Und Kubernetes Sichtbarkeitsagent. Muster ist ein Funktionssatz, der von verwendet wird Discovery, Cloud-Discovery, Und Service-Mapping. Kubernetes Sichtbarkeitsagent ist eine Funktion von Agent Client Collector. Während Kubernetes Sichtbarkeitsagent (früher als CNO-V bekannt) ist besser geeignet für Kubernetes Und dynamische containerisierte Arbeitsauslastungen, ist musterbasierte Discovery besser für nicht-Kubernetes geeignet Docker Container.

    Anwendungsfall Nr. 1
    Sobald eine Anwendung in Container-Images verpackt wurde, kann ein Sicherheitsexperte das Basis-Image sowie das endgültige Image auf Schwachstellen scannen und BS-Pakete, Softwareabhängigkeiten und Anwendungsdatensätze identifizieren. Dies gilt speziell für den containerisierten MSSQL-Server.
    Tabelle : 1. Sichtbarkeitsmethoden für Anwendungsfall Nr. 1
    Sichtbarkeitsmethoden Methodenmerkmale Was erkannt wurde
    Muster für Discovery und Service-Mapping Und Aqua Trivy:
    • Am besten geeignet für selbst gehostet oder Cloud Kubernetes Bereitstellungen mit Zugriff auf Bearer-Token und Anmeldeinformationen.
    • Unterstützt das Scannen öffentlicher und selbst gehosteter Repository-Bilder.
    • Musterbasierte Discovery ohne Cloud-Discovery:
      • Verwendet ein Bearer-Token.
      • Manuell erstellt Kubernetes Discovery-Zeitplan pro Cluster.
    • Musterbasierte Discovery mit Cloud-Discovery:
      • Kein Bearer-Token erforderlich.
      • Verwendet Cloud-Anmeldeinformationen.
      • Automatische Erstellung von Kubernetes Discovery-Zeitplan.
    • Weitere Informationen zum Scannen von Bildern mit Aqua Trivy, Siehe Container-Bilder scannen.

    Erkannt mit Muster für Discovery und Service-Mapping:

    • Kubernetes Cluster
    • Kubernetes Services
    • Kubernetes Topologie
    • Docker Container und Images
    • Kubernetes Bereitstellung einschließlich OpenShift
    • Namespace
    • Bezeichnungen und Tags
    • Software in Containern
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    • Docker-Muster erfasst Daten zu bestimmten Objekten in einer Docker-Engine, die auf einem Linux-Host ausgeführt wird
    Weitere Informationen finden Sie unter:
    Kubernetes Sichtbarkeitsmitarbeiter und Aqua Trivy:
    • Am besten geeignet für die Bereitstellung durch Cloud-native App-Teams.
    • Optionale Fähigkeit zur Überwachung Kubernetes Mit AIOps.
    • Für Cloud-Umgebungen wird nur AWS ECR (öffentlich und privat) unterstützt.

    Kubernetes Die auf Sichtbarkeit basierende Discovery erfordert keine Einrichtung von Anmeldeinformationen und ist nicht erforderlich MID-Server. Zugriff erfolgt über Serviceaccount/ClusterRole. Die Installation erfolgt über das Helmdiagramm oder Kubernetes YAML-Datei. Die Discovery wird nahezu in Echtzeit ausgeführt.

    Verwenden Kubernetes Explorer zum Herunterladen SBOM.

    Erkannt mit Kubernetes Sichtbarkeitsagent

    • Kubernetes Namespaces
    • Knoten und Pods
    • Bereitstellungen
    • Statussätze
    • Daemonsets
    • Replikate
    • Aufträge
    • Cronjobs
    • Services
    • Docker Container
    • Docker-Bild
    • Container-Repository
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    Anwendungsfall 2
    Ein Compliance-Beauftragter kann einen generieren  SBOM Um eine detaillierte Liste der Abhängigkeiten des Container-Images zu erhalten und sicherzustellen, dass die Software den Branchenvorschriften entspricht.
    Tabelle : 2. Sichtbarkeitsmethoden für Anwendungsfall 2
    Sichtbarkeitsmethode Methodenmerkmale
    Kubernetes Muster oder Docker Muster SBOM Die Erstellung ist Teil des Container-Scans.
    Kubernetes Sichtbarkeitsagent SBOM Die Erstellung ist auch Teil des Container-Scans, Die Verwendung von ACC ist jedoch am besten für Organisationen geeignet, die Flexibilität benötigen, um sowohl eine vollständige Discovery durchzuführen als auch fortlaufende Discovery durchzuführen.
    Anwendungsfall 3

    Ein Ingenieur hat einen Fehler in einem anwenderdefinierten Image gefunden und muss alle finden Kubernetes Pods, die mit diesem Bild ausgeführt werden.

    Tabelle : 3. Sichtbarkeitsmethoden für Anwendungsfall 3
    Sichtbarkeitsmethode Methodenmerkmale Was erkannt wurde
    Kubernetes Muster Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren.
    • Kubernetes Cluster
    • Kubernetes Container
    • Kubernetes Services
    • Bezeichnungen
    • Pods
    • Bilder
    • Tags
    Kubernetes Muster mit Cloud Discovery Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Alle oben genannten und Account- oder Regionsdetails
    Anwendungsfall 4
    Ein Techniker findet einen Fehler in einem anwenderdefinierten Image und muss alle finden Docker Container (nicht Kubernetes), die mit diesem Image ausgeführt werden.
    Sichtbarkeitsmethode Methodenmerkmale Was erkannt wurde
    Horizontale Discovery der ausgeführten VM Docker( Docker Muster) Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Siehe: Docker Virtualisierung

    Bildscannen mit Muster für Discovery und Service-Mapping

    Kubernetes Und Docker Muster werden in integriert Aqua Trivy Führen Sie geplante Aufgaben aus, um Container-Images und BS-Pakete in festen Intervallen von 10 Bildern pro Minute zu erkennen. Während des Scans gibt das Muster den Scanstatus an. Das Muster erkennt BS-Pakete, die sich auf ein Image beziehen. Dann werden die Image-Befehlsattribute wie die CI-Klasse gefunden. Basierend auf den Befehlsattributen erstellt das Muster Anwendungsdatensätze. Darüber hinaus verwendet das Muster angereicherte Skripts, um den Anwendungsdatensätzen Details hinzuzufügen. Danach ordnet das Muster die Beziehungen zwischen den BS-Paketen und den Containern zu.

    Ein Teil der Daten wird in ausgefüllt CMDB Tabellen und ein Teil davon in Transformationstabellen (nicht-CMDB-temporäre Tabellen). Die Transformationstabellen werden mit dem Muster installiert. Die Informationen, die Sie beim Scannen erhalten, umfassen beispielsweise die Ursprungsregistrierung, den Softwarequamen und die Version.