Explorar o Vulnerability Response contêiner

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A aplicação Vulnerability Response contêiner importa itens vulneráveis de contêiner (CVITs). De acordo com as regras, o recurso permite corrigir as vulnerabilidades do contêiner. Vulnerability Response contêiner está disponível por meio de uma assinatura separada.

    Ao contrário das aplicações tradicionais, os contêineres empacotam todos os códigos de origem da aplicação junto com suas dependências em um arquivo binário chamado de imagem de contêiner. A imagem é publicada em um registro para fornecer uma opção para executar essa imagem como uma aplicação ou uma instância de contêiner em qualquer plataforma. As fases em um ciclo de vida de pré-implantação de contêiner são as seguintes:
    1. Compor a imagem do contêiner: a imagem do contêiner é composta e apontada para um código de origem ou uma biblioteca dependente.
    2. Criar a imagem do contêiner
    3. Publicar a imagem do contêiner: o arquivo de imagem do contêiner é publicado em um registro. Cada imagem tem seu próprio ID exclusivo com base no conteúdo da imagem. Essas imagens são extraídas do registro para o ambiente de tempo de execução no modo de pós-implantação. As imagens são executadas como instâncias de contêiner no host no ambiente de produção.

    Verificando imagens de contêiner

    Uma imagem de contêiner pode ser verificada quanto a vulnerabilidades antes ou depois da implantação. Se as imagens de contêiner forem verificadas durante a fase de pré-implantação, você poderá receber muitos alertas de vulnerabilidade, que podem não precisar de sua atenção imediata. No entanto, a verificação de vulnerabilidades durante a fase de pós-implantação oferece maiores benefícios, como o seguinte:
    • Fornecendo visibilidade sobre o risco associado às aplicações implantadas.
    • Fornecendo uma exibição focada somente nas imagens no ambiente de produção.
    • Identificar e priorizar as vulnerabilidades que devem ser tratadas imediatamente.
    • Agrupamento e atribuição de vulnerabilidades com base nos metadados da imagem. Por exemplo, um repositório de imagens, um rótulo de imagem e outros atributos relacionados à imagem do contêiner podem ser usados para regras de agrupamento e atribuição.
    Cada imagem de contêiner tem os seguintes componentes principais:
    • Repositório de contêiner ou imagem: representa a imagem do docker com um determinado repositório ou nome. Ele hospeda todas as versões da imagem.
    • Imagem do Docker: representa uma versão específica da imagem do Docker de compilação.
    • Contêiner do Docker: representa uma instância em execução da imagem do Docker. Cada versão tem um ID exclusivo e várias instâncias dos contêineres em execução no ambiente de produção.

    Vulnerability Response contêiner módulos

    O módulo Vulnerability Response contêiner fornece detalhes sobre o seguinte:
    Itens vulneráveis de contêiner
    Os itens vulneráveis de contêiner (CVITs) são agrupados e listados com base na atribuição, criticidade, exploração e status de correção.
    Bibliotecas
    Obtenha acesso ao National Vulnerability Database (NVD) e bibliotecas de terceiros. Enquanto a biblioteca do NVD fornece informações limitadas ao ID do item de vulnerabilidade, a biblioteca de terceiros fornece a maioria dos detalhes de um item de vulnerabilidade. As informações na tela do NVD são preenchidas somente quando a integração do NVD é acionada.
    Administração
    O módulo Administração fornece informações sobre as regras de atribuição de itens vulneráveis, regras de destino de correção e integrações de vulnerabilidade de contêiner. Além disso, você também pode configurar a duração após a qual um item vulnerável deve ser encerrado automaticamente. Você pode usar a seção Configurar granularidade de IV para configurar a granularidade de CVITs especificando as combinações de chave. Por padrão, um CVIT é criado para uma combinação de um repositório de imagens, um marcador de imagem e uma vulnerabilidade. Você pode adicionar componentes adicionais à chave para maior granularidade. Por exemplo, você pode criar um CVIT para uma combinação de repositório de imagens, marcador de imagem, vulnerabilidade e cluster.

    Versões disponíveis

    Versão de lançamento Notas de versão

    Vulnerability Response contêiner v2.1

    Vulnerability Response contêiner v2.06

    Vulnerability Response contêiner v2.0.4