Exploração do Contêiner de Resposta a vulnerabilidades

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • A aplicação Contêiner de Resposta a vulnerabilidades importa itens vulneráveis de contêiner (CVITs). De acordo com as regras, o recurso permite que você corrija as vulnerabilidades do contêiner. Contêiner de Resposta a vulnerabilidades está disponível por meio de uma assinatura separada.

    Ao contrário das aplicações tradicionais, os contêineres empacotam todos os códigos de origem da aplicação junto com suas dependências em um arquivo binário chamado imagem de contêiner. A imagem é publicada em um registro para fornecer uma opção para executar esta imagem como uma aplicação ou uma instância de contêiner em qualquer plataforma. As fases em um ciclo de vida de pré-implantação de contêiner são as seguintes:
    1. Compor a imagem do contêiner: a imagem do contêiner é composta e apontada para um código de origem ou uma biblioteca dependente.
    2. Criar a imagem do contêiner
    3. Publicar a imagem do contêiner: o arquivo de imagem do contêiner é publicado em um registro. Cada imagem tem seu próprio ID exclusivo com base no conteúdo da imagem. Essas imagens são extraídas do registro para o ambiente de tempo de execução no modo de pós-implantação. As imagens são executadas como instâncias de contêiner no host no ambiente de produção.

    Verificando imagens de contêiner

    Uma imagem de contêiner pode ser verificada quanto a vulnerabilidades antes ou depois da implantação. Se as imagens de contêiner forem verificadas durante a fase de pré-implantação, você poderá receber muitos alertas de vulnerabilidade, que podem não precisar de sua atenção imediata. No entanto, a verificação de vulnerabilidades durante a fase de pós-implantação oferece benefícios maiores, como os seguintes:
    • Fornecer visibilidade sobre o risco associado às aplicações implantadas.
    • Fornecer uma exibição focada somente nas imagens no ambiente de produção.
    • Identificar e priorizar as vulnerabilidades que devem ser tratadas imediatamente.
    • Agrupamento e atribuição de vulnerabilidades com base nos metadados da imagem. Por exemplo, um repositório de imagens, um rótulo de imagem e outros atributos relacionados à imagem do contêiner podem ser usados para regras de agrupamento e atribuição.
    Cada imagem de contêiner tem os seguintes componentes principais:
    • Repositório de imagem ou contêiner: representa a imagem do Docker com um determinado repositório ou nome. Ele hospeda todas as versões da imagem.
    • Imagem do Docker: representa uma versão específica da imagem do Docker de compilação.
    • Contêiner do Docker: representa uma instância em execução da imagem do Docker. Cada versão tem um ID exclusivo e várias instâncias dos contêineres em execução no ambiente de produção.

    Contêiner de Resposta a vulnerabilidades módulos

    O módulo Contêiner de Resposta a vulnerabilidades fornece detalhes sobre o seguinte:
    Itens vulneráveis de contêiner
    Os itens vulneráveis de contêiner (CVITs) são agrupados e listados com base na atribuição, na criticalidade, na explorabilidade e no status de correção.
    Bibliotecas
    Obtenha acesso ao Banco de dados nacional de vulnerabilidades (NVD) e a bibliotecas de terceiros. Enquanto a biblioteca do NVD fornece informações limitadas ao ID do item de vulnerabilidade, a biblioteca de terceiros fornece a maioria dos detalhes sobre um item de vulnerabilidade. As informações na tela do NVD são preenchidas somente quando a integração do NVD é acionada.
    Administração
    O módulo Administração fornece informações sobre regras de atribuição de itens vulneráveis, regras de destino de correção e integrações de vulnerabilidade de contêiner. Além disso, você também pode configurar a duração após a qual um item vulnerável deve ser encerrado automaticamente. Você pode usar a seção Configurar granularidade de VI para configurar a granularidade de CVITs especificando as combinações de chaves. Por padrão, um CVIT é criado para uma combinação de um repositório de imagens, um marcador de imagem e uma vulnerabilidade. Você pode adicionar componentes adicionais à chave para obter mais granularidade. Por exemplo, você pode criar um CVIT para uma combinação de repositório de imagens, marcador de imagem, vulnerabilidade e cluster.

    Versões disponíveis

    Versão de lançamento Notas de versão

    Contêiner de Resposta a vulnerabilidades v2.1

    Contêiner de Resposta a vulnerabilidades v2.06

    Contêiner de Resposta a vulnerabilidades v2.0.4