Container-Image-Scan für Softwareaufgliederung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Die ITOM-Transparenz Apps, Muster für Discovery und Service-Mapping Und Kubernetes Transparency Agent werden mit integriert Aqua Trivy Dient zum Sammeln von Daten zu Container-Images und BS-Paketen. Sie können Ihre Kontrolle über die Containerbereitstellung erhöhen, indem Sie Transparenz für die Containerkomponenten haben.

    Container-Image-Scan für Software-Aufschlüsselungsdiagramm

    Vorteile des Bildscans

    Durch das Scannen Ihrer Container erhalten Sie Einblick in das, was sich darin befindet Kubernetes Oder Docker Container oder BS-Pakete. Das Scannen von Bildern kann Ihnen auf verschiedene Arten helfen.
    • Es hilft Ihnen, Software zu identifizieren, die in Containern für regulatorische und Compliance-Anwendungsfälle installiert ist.
    • Es hilft Ihnen, Unternehmensrichtlinien wie die Verwendung von Golden Images, veralteter Software, obligatorischen Bezeichnungen oder Konfigurationsrichtlinien​einzuhalten.
    • Außerdem können Sie lizenzierte Software verwalten, die in Containern ausgeführt wird​.
    • Sie können den Servicekontext auch abrufen​, indem Sie Tags und Service-Mesh verwenden, um ihre Auswirkungen auf Ihre Organisation zu verstehen.

    Anwendungsfälle für Bildscans mit ITOM-Transparenz

    Sie können zwei verwenden ITOM-Transparenz Apps zum Scannen von Containerbildern, Muster für Discovery und Service-Mapping Und Kubernetes Sichtbarkeit-Agent. Muster ist ein Funktionssatz, der von verwendet wird Discovery, Cloud-Discovery, Und Service-Mapping. Kubernetes Sichtbarkeit-Agent ist eine Funktion von Agent Client Collector. Während Kubernetes Für eignet sich der Sichtbarkeit-Agent (früher CNO-V) besser Kubernetes Und dynamische containerisierte Arbeitsauslastungen, ist musterbasierte Discovery besser für nicht-Kubernetes geeignet Docker Container.

    Anwendungsfall Nr. 1
    Sobald eine Anwendung in Container-Images verpackt wurde, kann ein Sicherheitsexperte das Basis-Image sowie das endgültige Image auf Schwachstellen scannen und BS-Pakete, Softwareabhängigkeiten und Anwendungsdatensätze identifizieren. Dies gilt speziell für den containerisierten MSSQL-Server.
    Tabelle : 1. Sichtbarkeitsmethoden für Anwendungsfall Nr. 1
    Sichtbarkeitsmethoden Methodenmerkmale Was erkannt wurde
    Muster für Discovery und Service-Mapping Und Aqua Trivy:
    • Am besten geeignet für selbst gehostet oder Cloud Kubernetes Bereitstellungen mit Zugriff auf Bearer-Token und Anmeldeinformationen.
    • Unterstützt das Scannen öffentlicher und selbst gehosteter Repository-Bilder.
    • Musterbasierte Discovery ohne Cloud-Discovery:
      • Verwendet ein Bearer-Token.
      • Manuell erstellt Kubernetes Discovery-Zeitplan pro Cluster.
    • Musterbasierte Discovery mit Cloud-Discovery:
      • Kein Bearer-Token erforderlich.
      • Verwendet Cloud-Anmeldeinformationen.
      • Automatische Erstellung von Kubernetes Discovery-Zeitplan.
    • Weitere Informationen zum Scannen von Bildern mit Aqua Trivy, Siehe Container-Images scannen.

    Erkannt mit Muster für Discovery und Service-Mapping:

    • Kubernetes Cluster
    • Kubernetes Services
    • Kubernetes Topologie
    • Docker Container und Images
    • Kubernetes Bereitstellung einschließlich OpenShift
    • Namespace
    • Bezeichnungen und Tags
    • Software in Containern
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    • Docker-Muster erfasst Daten zu bestimmten Objekten in einer Docker-Engine, die auf einem Linux-Host ausgeführt wird
    Weitere Informationen finden Sie unter:
    Kubernetes Sichtbarkeit Agent und Aqua Trivy:
    • Am besten geeignet für die Bereitstellung durch Cloud-native App-Teams.
    • Optionale Fähigkeit zur Überwachung Kubernetes Mit AIOps.
    • Für Cloud-Umgebungen wird nur AWS ECR (öffentlich und privat) unterstützt.

    Kubernetes Die auf Sichtbarkeit Agent basierende Discovery erfordert keine Einrichtung von Anmeldeinformationen und ist nicht erforderlich MID-Server. Zugriff erfolgt über ServiceAccount/ClusterRole. Die Installation erfolgt über Helm Chart oder Kubernetes YAML-Datei. Die Discovery wird nahezu in Echtzeit ausgeführt.

    Verwenden Kubernetes Explorer zum Herunterladen SBOM.

    Erkannt mit Kubernetes Sichtbarkeit-Agent

    • Kubernetes Namespaces
    • Knoten und Pods
    • Bereitstellungen
    • Statussätze
    • Daemonsets
    • Replikatsätze
    • Aufträge
    • Cronjobs
    • Services
    • Docker Container
    • Docker-Bild
    • Container-Repository
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    Anwendungsfall 2
    Ein Compliance-Beauftragter kann einen generieren  SBOM Um eine detaillierte Liste der Abhängigkeiten des Container-Images zu erhalten und sicherzustellen, dass die Software den Branchenvorschriften entspricht.
    Tabelle : 2. Sichtbarkeitsmethoden für Anwendungsfall Nr. 2
    Sichtbarkeitsmethode Methodenmerkmale
    Kubernetes Muster oder Docker Muster SBOM Die Erstellung ist Teil des Container-Scans.
    Kubernetes Sichtbarkeit-Agent SBOM Die Erstellung ist auch Teil des Container-Scans, Die Verwendung von ACC ist jedoch am besten für Organisationen geeignet, die Flexibilität benötigen, um sowohl eine vollständige als auch eine kontinuierliche Discovery durchzuführen.
    Anwendungsfall Nr. 3

    Ein Techniker hat einen Fehler in einem anwenderdefinierten Image gefunden und muss alle finden Kubernetes Pods, die mit diesem Image ausgeführt werden.

    Tabelle : 3. Sichtbarkeitsmethoden für Anwendungsfall Nr. 3
    Sichtbarkeitsmethode Methodenmerkmale Was erkannt wurde
    Kubernetes pattern Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren.
    • Kubernetes Cluster
    • Kubernetes Container
    • Kubernetes Services
    • Bezeichnungen
    • Pods
    • Images
    • Tags
    Kubernetes Muster mit Cloud-Discovery Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Alle oben genannten und Account- oder Regionsdetails
    Anwendungsfall 4
    Ein Techniker findet einen Fehler in einem anwenderdefinierten Image und muss alle finden Docker Container (nicht Kubernetes), die mit diesem Image ausgeführt werden.
    Sichtbarkeitsmethode Methodenmerkmale Was erkannt wurde
    Horizontale Discovery der ausgeführten VM Docker( Docker Muster) Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Siehe: Docker-Virtualisierung

    Bildscannen mit Muster für Discovery und Service-Mapping

    Kubernetes Und Docker Muster werden in integriert Aqua Trivy Führen Sie geplante Aufgaben durch, um Container-Images und BS-Pakete in festen Intervallen von 10 Images pro Minute zu erkennen. Während des Scans zeigt das Muster den Scanstatus an. Das Muster erkennt BS-Pakete, die sich auf ein Image beziehen. Anschließend werden die Image-Befehlsattribute wie die CI-Klasse gefunden. Basierend auf den Befehlsattributen erstellt das Muster Anwendungsdatensätze. Darüber hinaus verwendet das Muster angereicherte Skripts, um den Anwendungsdatensätzen Details hinzuzufügen. Danach ordnet das Muster die Beziehungen zwischen den BS-Paketen und den Containern zu.

    Ein Teil der Daten wird in ausgefüllt CMDB Tabellen und ein Teil davon in Transformationstabellen (nicht-CMDB-temporäre Tabellen). Die Transformationstabellen werden mit dem Muster installiert. Zum Beispiel umfassen die Informationen, die Sie durch das Scannen erhalten, die Ursprungsregistrierung, den Softwarenamen und die Version.