Analyse d’images de conteneurs pour la décomposition logicielle

Rversion finale: Zurich

Mis à jour 31 juil. 2025

5 minutes de lecture

Les Visibilité ITOM applications Schémas de découverte et de mappage des services et Kubernetes Visibility Agent s’intègrent Aqua Trivy pour collecter des données sur les images de conteneurs et les packages de système d’exploitation. Vous pouvez accroître votre contrôle sur le déploiement des conteneurs en ayant une visibilité sur les composants des conteneurs.

Analyse d’image de conteneur pour diagramme de décomposition de logiciel

Avantages de la numérisation d’images

L’analyse de vos conteneurs vous donne une visibilité sur ce qu’il y a à l’intérieur Kubernetes , sur Docker les conteneurs ou les packages du système d’exploitation. La numérisation d’images peut vous aider de plusieurs façons.

Il vous aide à identifier les logiciels installés dans les conteneurs pour les cas d’utilisation de réglementation et de conformité.
Cela vous aide à respecter les politiques de l’entreprise telles que l’utilisation d’images standard, de logiciels obsolètes, d’étiquettes obligatoires ou de politiques de configuration.
Il vous aide également à gérer les logiciels sous licence exécutés dans des conteneurs.
Vous pouvez également obtenir le contexte du service à l’aide de balises et de Service Mesh pour comprendre leur impact sur votre organisation.

Cas d’utilisation de numérisation d’images avec Visibilité ITOM

Vous pouvez utiliser deux Visibilité ITOM applications pour numériser des images Schémas de découverte et de mappage des services de conteneur et Kubernetes Visibility Agent. Les modèles sont un ensemble de fonctionnalités utilisé par Découverte, Découverte dans le cloud et Mappage des services. Kubernetes Visibility Agent est une fonctionnalité de Agent Client Collector. Alors que Kubernetes Visibility Agent (anciennement connu sous le nom de CNO-V) est plus adapté aux Kubernetes charges de travail conteneurisées dynamiques, la détection basée sur les modèles est plus adaptée aux conteneurs non Kubernetes Docker .

Cas d’utilisation # 1: Une fois qu’une application a été encapsulée dans des images de conteneur, un professionnel de la sécurité peut analyser l’image de base, ainsi que l’image finale, pour détecter les vulnérabilités et identifier les packages de système d’exploitation, les dépendances logicielles et les enregistrements d’application. Ceci est spécifiquement destiné au serveur MSSQL conteneurisé.

Tableau 1. Méthodes de visibilité pour le cas d’utilisation # 1
Méthodes de visibilité	Caractéristiques de la méthode	Ce qui est découvert
Schémas de découverte et de mappage des services et Aqua Trivy: Convient mieux aux déploiements auto-hébergés ou dans le cloud Kubernetes avec accès aux jetons de porteur et aux informations d’identification. Prend en charge la numérisation d’images de référentiels publics et auto-hébergés.	Découverte basée sur un modèle sans découverte dans le cloud : Utilise un jeton de porteur. Calendrier de découverte créé Kubernetes manuellement par grappe. Découverte basée sur un modèle avec Découverte dans le cloud : Aucun jeton de porteur requis. Utilise les informations d’identification dans le cloud. Création automatique d’un calendrier de Kubernetes découverte. Pour plus d’informations sur la numérisation d’images à l’aide Aqua Trivy de , reportez-vous à la section Analyser les images du conteneur.	Détecté à l’aide :Schémas de découverte et de mappage des services Kubernetes Clusters Kubernetes Services Kubernetes topologie Docker Conteneurs et images Kubernetes y compris OpenShift Espace de noms Étiquettes et balises Logiciels dans des conteneurs Les détails de la région du compte ne peuvent être découverts que par Découverte dans le cloud Le modèle Docker collecte des données sur des objets spécifiques dans un moteur Docker, exécuté sur un hôte Linux Pour en savoir plus, consultez : Découverte d’image de conteneur Kubernetes Découverte à l’aide de schémas Virtualisation Docker
Kubernetes Visibility Agent et Aqua Trivy: Idéal pour le déploiement par les équipes d’applications natives dans le cloud. Possibilité facultative de surveiller Kubernetes avec AIOps. Pour les environnements cloud, seul AWS ECR (Public and Private) est pris en charge.	Kubernetes La découverte basée sur Visibility Agent ne nécessite pas de configuration d’informations d’identification, et aucun besoin de Serveur MID. L’accès se fait via ServiceAccount/ClusterRole. L’installation se fait via un graphique Helm ou Kubernetes un fichier YAML. La détection s’exécute quasiment en temps réel. Utilisez Kubernetes l’Explorateur pour télécharger SBOM.	Détecté à l’aide de Kubernetes Visibility Agent Kubernetes Espaces de noms Nœuds et pods Déploiements Statefulsets Daemonsets Ensembles de répliques Tâches Cronjobs Services Docker conteneur Docker image Référentiel du conteneur Les détails de la région du compte ne peuvent être découverts que par Découverte dans le cloud

Cas d’utilisation #2: Un responsable de la conformité peut générer un SBOM pour obtenir une liste détaillée des dépendances de l’image du conteneur et pour s’assurer que le logiciel est conforme aux réglementations du secteur.

Tableau 2. Méthodes de visibilité pour le cas d’utilisation #2
Méthode de visibilité	Caractéristiques de la méthode
Kubernetes Modèle ou Docker modèle	SBOM La création fait partie de l’analyse du conteneur.
Kubernetes Agent de visibilité	SBOM La création fait également partie de l’analyse des conteneurs, mais l’utilisation d’ACC convient mieux aux organisations qui ont besoin de flexibilité pour effectuer à la fois une découverte complète et continue.

Cas d’utilisation #3: Un ingénieur a trouvé un défaut dans une image personnalisée et doit trouver tous les Kubernetes pods qui s’exécutent à l’aide de cette image.

Tableau 3. Méthodes de visibilité pour le cas d’utilisation #3
Méthode de visibilité	Caractéristiques de la méthode	Ce qui est découvert
Modèle Kubernetes	Aqua Trivy L’analyse des conteneurs n’est pas nécessaire. Vous pouvez identifier les pods à l’aide de modèles.	Kubernetes Clusters Kubernetes Conteneurs Kubernetes Services Étiquettes Pods Images Balises
Kubernetes modèle avec découverte dans le cloud	Aqua Trivy L’analyse des conteneurs n’est pas nécessaire. Vous pouvez identifier les pods à l’aide de modèles.	Tous les éléments ci-dessus et détails du compte ou de la région

Cas d’utilisation #4: Un ingénieur trouve un défaut dans une image personnalisée et doit trouver tous les Docker conteneurs (non Kubernetes) qui s’exécutent à l’aide de cette image.


Méthode de visibilité	Caractéristiques de la méthode	Ce qui est découvert
Détection horizontale de l’exécution Docker du VM (Docker schéma)	Aqua Trivy L’analyse des conteneurs n’est pas nécessaire. Vous pouvez identifier les pods à l’aide de modèles.	Voir: Virtualisation Docker

Numérisation d’images avec Schémas de découverte et de mappage des services

Kubernetes et Docker les modèles s’intègrent à l’outil et exécutent des travaux planifiés pour détecter les Aqua Trivy images de conteneurs et les packages de système d’exploitation à des intervalles fixes de 10 images par minute. Pendant l’analyse, le modèle indique l’état de l’analyse. Le modèle découvre les packages de système d’exploitation qui sont liés à une image. Ensuite, il trouve les attributs de la commande d’image comme la classe CI. En fonction des attributs de commande, le modèle crée des enregistrements d’application. En outre, le modèle utilise des scripts enrichis pour ajouter des détails aux enregistrements d’application. Après cela, le modèle mappe les relations entre les packages OS et les conteneurs.

Une partie des données est renseignée dans CMDB des tables et une autre dans des tables de transformation (tables temporaires non CMDB). Les tables de transformation sont installées avec le modèle. Par exemple, les informations que vous obtenez en scannant comprennent le registre d’origine, le nom et la version du logiciel.