기존 애플리케이션과 달리 컨테이너는 모든 애플리케이션 소스 코드와 해당 종속성을 컨테이너 이미지라는 이진 파일로 패키징합니다. 모든 플랫폼에서 이 이미지를 애플리케이션 또는 컨테이너 인스턴스로 실행할 수 있는 옵션을 제공하기 위해 이미지가 레지스트리에 게시됩니다. 컨테이너 사전 배포 수명주기의 스테이지는 다음과 같습니다.

1. 컨테이너 이미지 작성: 컨테이너 이미지가 작성되고 소스 코드 또는 종속 라이브러리를 가리킵니다.
2. 컨테이너 이미지 빌드
3. 컨테이너 이미지 게시: 컨테이너 이미지 파일이 레지스트리에 게시됩니다. 각 이미지에는 이미지 내용에 따라 고유한 ID가 있습니다. 이러한 이미지는 배포 후 모드에서 레지스트리에서 런타임 환경으로 끌어옵니다. 그런 다음 이미지는 프로덕션 환경의 호스트에서 컨테이너 인스턴스로 실행됩니다.

컨테이너 이미지는 배포 전후에 취약성을 검사할 수 있습니다. 배포 전 단계에서 컨테이너 이미지를 스캔하면 즉각적인 주의가 필요하지 않은 취약성 경보가 많이 표시될 수 있습니다. 그러나 배포 후 단계에서 취약성을 검사하면 다음과 같은 더 큰 이점을 얻을 수 있습니다.

• 배포된 애플리케이션과 관련된 위험에 대한 가시성을 제공합니다.
• 프로덕션 환경의 이미지에만 집중된 뷰를 제공합니다.
• 즉시 조치를 취해야 하는 취약성을 식별하고 우선순위를 지정합니다.
• 이미지의 메타데이터를 기반으로 취약성을 그룹화하고 할당합니다. 예를 들어 이미지 리포지토리, 이미지 레이블 및 컨테이너 이미지와 관련된 기타 속성을 그룹화 및 할당 규칙에 사용할 수 있습니다.

각 컨테이너 이미지에는 다음과 같은 주요 구성요소가 있습니다.

• 컨테이너 또는 이미지 리포지토리: 지정된 리포지토리 또는 이름을 가진 Docker 이미지를 나타냅니다. 모든 버전의 이미지를 호스팅합니다.
• Docker 이미지: 빌드 Docker 이미지의 특정 버전을 나타냅니다.
• Docker 컨테이너: Docker 이미지의 실행 중인 인스턴스를 나타냅니다. 각 버전에는 고유한 ID가 있으며 프로덕션 환경에서 실행되는 컨테이너의 여러 인스턴스가 있습니다.

이 모듈에서는 컨테이너 취약성 대응 다음에 대해 자세히 설명합니다.

결과(컨테이너 취약한 항목)

결과(CVIT)는 할당, 중요도, 악용 가능성 및 정정 상태를 기준으로 그룹화되고 나열됩니다.

라이브러리

NVD(국가 취약성 데이터베이스) 및 외부 공급업체 라이브러리에 액세스할 수 있습니다. NVD 라이브러리는 취약성 항목 ID에 한정된 정보를 제공하는 반면, 타사 라이브러리는 취약성 항목에 대한 대부분의 세부 정보를 제공합니다. NVD 화면의 정보는 NVD 통합이 트리거될 때만 채워집니다.

관리

관리 모듈은 취약한 항목의 담당 규칙, 정정 대상 규칙 및 컨테이너 취약성 통합에 대한 정보를 제공합니다. 또한 취약한 항목을 자동으로 종결해야 하는 기간을 구성할 수도 있습니다. VI 세분성 구성 섹션을 사용하면 키 조합을 지정하여 CVIT의 세분성을 구성할 수 있습니다. 기본적으로 CVIT는 이미지 리포지토리, 이미지 태그 및 취약성의 조합에 대해 생성됩니다. 더 세분화하기 위해 키에 구성요소를 추가할 수 있습니다. 예를 들어 이미지 리포지토리, 이미지 태그, 취약성 및 클러스터의 조합에 대해 CVIT를 생성할 수 있습니다.