컨테이너 취약성 대응 탐색
애플리케이션은 컨테이너 취약성 대응 컨테이너 취약한 항목(CVIT)을 임포트합니다. 규칙에 따르면 이 기능을 사용하면 컨테이너 취약성을 수정할 수 있습니다. 컨테이너 취약성 대응 는 별도의 구독을 통해 사용할 수 있습니다.
기존 응용 프로그램과 달리 컨테이너는 모든 응용 프로그램 소스 코드를 종속성과 함께 컨테이너 이미지라는 이진 파일로 패키징합니다. 이미지는 모든 플랫폼에서 이 이미지를 애플리케이션 또는 컨테이너 인스턴스로 실행하는 옵션을 제공하기 위해 레지스트리에 게시됩니다. 컨테이너 사전 배포 수명주기의 단계는 다음과 같습니다.
- 컨테이너 이미지 작성: 컨테이너 이미지가 구성되고 소스 코드 또는 종속 라이브러리를 가리킵니다.
- 컨테이너 이미지 구축
- 컨테이너 이미지 게시: 컨테이너 이미지 파일이 레지스트리에 게시됩니다. 각 이미지에는 이미지 내용에 따라 고유한 ID가 있습니다. 이러한 이미지는 배포 후 모드에서 레지스트리에서 런타임 환경으로 끌어옵니다. 그런 다음, 이미지는 프로덕션 환경의 호스트에서 컨테이너 인스턴스로 실행됩니다.
컨테이너 이미지 스캔
컨테이너 이미지는 배포 전이나 후에 취약성을 검사할 수 있습니다. 배포 전 단계에서 컨테이너 이미지를 스캔하면 즉각적인 주의가 필요하지 않을 수 있는 많은 취약성 경고가 표시될 수 있습니다. 그러나 배포 후 단계에서 취약성을 검사하면 다음과 같은 더 큰 이점이 있습니다.
- 배포된 애플리케이션과 관련된 위험에 대한 가시성을 제공합니다.
- 프로덕션 환경의 이미지에만 초점을 맞춘 뷰를 제공합니다.
- 즉시 조치를 취해야 하는 취약성을 식별하고 우선순위를 지정합니다.
- 이미지의 메타데이터를 기반으로 취약성을 그룹화하고 할당합니다. 예를 들어 이미지 리포지토리, 이미지 레이블 및 컨테이너 이미지와 관련된 기타 속성을 그룹화 및 할당 규칙에 사용할 수 있습니다.
각 컨테이너 이미지에는 다음과 같은 주요 구성 요소가 있습니다.
- 컨테이너 또는 이미지 리포지토리: 지정된 리포지토리 또는 이름으로 Docker 이미지를 나타냅니다. 이미지의 모든 버전을 호스팅합니다.
- Docker 이미지: 빌드 Docker 이미지의 특정 버전을 나타냅니다.
- Docker 컨테이너: Docker 이미지의 실행 중인 인스턴스를 나타냅니다. 각 버전에는 고유 ID가 있으며 프로덕션 환경에서 실행되는 컨테이너의 여러 인스턴스가 있습니다.
컨테이너 취약성 대응 모듈
이 모듈에서는 컨테이너 취약성 대응 다음에 대한 세부 정보를 제공합니다.
- 컨테이너 취약한 항목
- 컨테이너 취약한 항목(CVIT)은 할당, 중요도, 악용 가능성 및 정정 상태에 따라 그룹화되고 나열됩니다.
- 라이브러리
- NVD(National Vulnerability Database) 및 타사 라이브러리에 액세스할 수 있습니다. NVD 라이브러리는 취약성 항목 ID로 제한된 정보를 제공하지만, 타사 라이브러리는 취약성 항목에 대한 대부분의 세부 정보를 제공합니다. NVD 화면의 정보는 NVD 통합이 트리거될 때만 채워집니다.
- 관리
- 관리 모듈은 취약한 항목의 할당 규칙, 정정 대상 규칙 및 컨테이너 취약성 통합에 대한 정보를 제공합니다. 또한 취약한 항목을 자동으로 종결해야 하는 기간을 구성할 수도 있습니다. VI 세분성 구성 섹션에서 키 조합을 지정하여 CVIT의 세분성을 구성할 수 있습니다. 기본적으로 CVIT는 이미지 리포지토리, 이미지 태그 및 취약성의 조합에 대해 생성됩니다. 더 세분성을 위해 키에 구성 요소를 더 추가할 수 있습니다. 예를 들어 이미지 리포지토리, 이미지 태그, 취약성 및 클러스터의 조합에 대한 CVIT를 생성할 수 있습니다.
사용 가능한 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
컨테이너 취약성 대응 v2.1 버전 컨테이너 취약성 대응 v2.06 컨테이너 취약성 대응 v2.0.4 버전 |