Container Vulnerability Response erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die Anwendung Container Vulnerability Response importiert angreifbare Containerelemente (CVITs). Gemäß den Regeln können Sie mit der Funktion die Container-Schwachstellen beheben. Container Vulnerability Response ist über ein separates Abonnement verfügbar.

    Im Gegensatz zu herkömmlichen Anwendungen packen Container den gesamten Anwendungsquellcode zusammen mit seinen Abhängigkeiten in eine Binärdatei, die als Container-Image bezeichnet wird. Das Image wird in einer Registrierung veröffentlicht, um eine Option zum Ausführen dieses Image als Anwendung oder Containerinstanz auf einer beliebigen Plattform bereitzustellen. Die Phasen in einem Lebenszyklus vor der Bereitstellung von Containern sind:
    1. Container-Image erstellen: Das Container-Image wird erstellt und auf einen Quellcode oder eine abhängige Bibliothek verwiesen.
    2. Containerimage erstellen
    3. Container-Image veröffentlichen: Die Container-Image-Datei wird in einer Registrierung veröffentlicht. Jedes Image hat eine eigene eindeutige ID, die auf dem Inhalt des Image basiert. Diese Images werden im Modus nach der Bereitstellung aus der Registrierung in die Laufzeitumgebung abgerufen. Die Images werden dann als Containerinstanzen auf dem Host in der Produktionsumgebung ausgeführt.

    Container-Images werden gescannt

    Ein Container-Image kann vor oder nach der Bereitstellung auf Schwachstellen gescannt werden. Wenn Container-Images während der Phase vor der Bereitstellung gescannt werden, erhalten Sie möglicherweise viele Schwachstellenwarnungen, die möglicherweise nicht Ihrer sofortigen Aufmerksamkeit bedürfen. Das Scannen nach Schwachstellen während der Phase nach der Bereitstellung bietet jedoch größere Vorteile, z. B.:
    • Bietet Transparenz in Bezug auf das mit den bereitgestellten Anwendungen verbundene Risiko.
    • Bereitstellung einer fokussierten Ansicht nur für die Images in der Produktionsumgebung.
    • Identifizierung und Priorisierung der Schwachstellen, auf die sofort reagiert werden muss.
    • Gruppierung und Zuweisung von Schwachstellen basierend auf den Metadaten des Image. Beispielsweise können ein Image-Repository, eine Image-Bezeichnung und andere Attribute im Zusammenhang mit dem Container-Image für Gruppierungs- und Zuweisungsregeln verwendet werden.
    Jedes Container-Image weist die folgenden Schlüsselkomponenten auf:
    • Container- oder Image-Repository: Stellt das Docker-Image mit einem bestimmten Repository oder Namen dar. Sie hostet alle Versionen des Image.
    • Docker-Image: Stellt eine bestimmte Version des Build-Docker-Image dar.
    • Docker-Container: Stellt eine ausgeführte Instanz des Docker-Image dar. Jede Version hat eine eindeutige ID und mehrere Instanzen der Container, die in der Produktionsumgebung ausgeführt werden.

    Container Vulnerability Response Module

    Das Modul Container Vulnerability Response enthält Details zu Folgendem:
    Angreifbare Container-Elemente
    Die angreifbaren Containerelemente (CVITs) werden gruppiert und basierend auf Zuweisung, Relevanz, Ausnutzbarkeit und Korrekturstatus aufgelistet.
    Bibliotheken
    Erhalten Sie Zugriff auf die National Vulnerability Database (NVD) und Bibliotheken von Drittanbietern. Während die NVD-Bibliothek Informationen bereitstellt, die auf die ID des angreifbaren Elements beschränkt sind, stellt die Bibliothek einer Drittpartei die meisten Details zu einem angreifbaren Element bereit. Informationen im NVD-Bildschirm werden nur ausgefüllt, wenn die NVD-Integration ausgelöst wird.
    Administration
    Das Modul „Administration“ enthält Informationen zu den Zuweisungsregeln der angreifbaren Elemente, den Korrekturzielregeln und den Integrationen von Container-Schwachstellen. Darüber hinaus können Sie auch die Dauer konfigurieren, nach der ein angreifbares Element automatisch geschlossen werden soll. Sie können den Abschnitt VI-Granularität konfigurieren verwenden, um die Granularität von CVITs zu konfigurieren, indem Sie die Tastenkombinationen angeben. Standardmäßig wird eine CVIT für eine Kombination aus einem Image-Repository, einem Image-Tag und einer Schwachstelle erstellt. Sie können dem Schlüssel zusätzliche Komponenten hinzufügen, um die Granularität zu erhöhen. Sie können beispielsweise eine CVIT für eine Kombination aus Image-Repository, Image-Tag, Schwachstelle und Cluster erstellen.

    Verfügbare Versionen

    Release-Version Releasehinweise

    Container Vulnerability Response v2.1

    Container Vulnerability Response v2.06

    Container Vulnerability Response v2.0.4