Analyse d’images de conteneurs pour la décomposition logicielle

Rversion finale: Australia

Mis à jour 12 mars 2026

5 minutes de lecture

Les Visibilité ITOM applications Schémas de découverte et de mappage des services et Kubernetes Visibility Agent s’intègrent Aqua Trivy pour collecter des données sur les images de conteneurs et les packages de système d’exploitation. Vous pouvez accroître votre contrôle sur le déploiement des conteneurs en ayant une visibilité sur les composants des conteneurs.

Analyse d’image de conteneur pour le diagramme de décomposition de logiciel

Avantages de la numérisation d’images

L’analyse de vos conteneurs vous donne une visibilité sur ce qu’il y a à l’intérieur KubernetesDocker , sur les conteneurs ou les packages du système d’exploitation. La numérisation d’images peut vous aider de plusieurs façons.

Il vous aide à identifier les logiciels installés dans les conteneurs pour les cas d’utilisation de réglementation et de conformité.
Cela vous aide à respecter les politiques de l’entreprise telles que l’utilisation d’images standard, de logiciels obsolètes, d’étiquettes obligatoires ou de politiques de configuration.
Il vous aide également à gérer les logiciels sous licence exécutés dans des conteneurs.
Vous pouvez également obtenir le contexte du service à l’aide de balises et de Service Mesh pour comprendre leur impact sur votre organisation.

Cas d’utilisation de numérisation d’images avec Visibilité ITOM

Vous pouvez utiliser deux Visibilité ITOM applications pour numériser des images Schémas de découverte et de mappage des services de conteneur et Kubernetes Agent de visibilité. Les modèles sont un ensemble de fonctionnalités utilisé par Découverte, Découverte dans le cloud, et Mappage des services. Kubernetes Visibility Agent est une fonctionnalité de Agent Client Collector. Alors que Kubernetes Visibility Agent (anciennement connu sous le nom de CNO-V) est plus adapté Kubernetes aux charges de travail conteneurisées dynamiques, la découverte basée sur le modèle est plus adaptée aux conteneurs non Kubernetes Docker .

Cas d’utilisation # 1: Une fois qu’une application a été encapsulée dans des images de conteneur, un professionnel de la sécurité peut analyser l’image de base, ainsi que l’image finale, pour détecter les vulnérabilités et identifier les packages de système d’exploitation, les dépendances logicielles et les enregistrements d’application. Ceci est spécifiquement destiné au serveur MSSQL conteneurisé.

Tableau 1. Méthodes de visibilité pour le cas d’utilisation # 1
Méthodes de visibilité	Caractéristiques de la méthode	Ce qui a été découvert
Schémas de découverte et de mappage des services et Aqua Trivy: Convient mieux aux déploiements auto-hébergés ou dans le cloud Kubernetes avec accès aux jetons de porteur et aux informations d’identification. Prend en charge l’analyse d’images de référentiels publics et auto-hébergés.	Découverte basée sur le schéma sans découverte dans le cloud : Utilise un jeton de porteur. Calendrier de découverte créé Kubernetes manuellement par grappe. Découverte basée sur le schéma avec Découverte dans le cloud : Aucun jeton de porteur requis. Utilise les informations d’identification dans le cloud. Création automatique d’un calendrier de Kubernetes découverte. Pour plus d’informations sur l’analyse d’images à l’aide de Aqua Trivy, reportez-vous à la section Analyser les images du conteneur.	Détecté à l’aide de Schémas de découverte et de mappage des services: Kubernetes Grappes Kubernetes Prestations Kubernetes Topologie Docker Conteneurs et images Kubernetes y compris OpenShift Espace de noms Étiquettes et balises Logiciels dans des conteneurs Les détails de région du compte ne peuvent être découverts que par Découverte dans le cloud Le modèle Docker collecte des données sur des objets spécifiques dans un moteur Docker, exécuté sur un hôte Linux Pour en savoir plus, consultez : Découverte d’image de conteneur Kubernetes Découverte à l’aide de schémas Docker Virtualisation
Kubernetes Agent de visibilité et Aqua Trivy: Convient parfaitement au déploiement par les équipes d’applications natives dans le cloud. Possibilité facultative de surveiller Kubernetes avec AIOps. Pour les environnements cloud, seul AWS ECR (public et privé) est pris en charge.	Kubernetes La découverte basée sur Visibility Agent ne nécessite pas de configuration d’informations d’identification ni de Serveur MID. L’accès se fait via ServiceAccount/ClusterRole. L’installation se fait via un graphique en barres ou Kubernetes un fichier YAML. La découverte s’exécute quasiment en temps réel. Utilisez l’Explorateur Kubernetes pour télécharger SBOM.	Détecté à l’aide d’Agent Kubernetes de visibilité Kubernetes Espaces de noms Nœuds et pods Déploiements Statefulsets Daemonsets Ensembles de répliques Tâches Cronjobs Services Docker Conteneur Docker image Référentiel du conteneur Les détails de région du compte ne peuvent être découverts que par Découverte dans le cloud

Cas d’utilisation #2: Un responsable de la conformité peut générer un pour SBOM obtenir une liste détaillée des dépendances de l’image du conteneur et pour s’assurer que le logiciel est conforme aux réglementations du secteur.

Tableau 2. Méthodes de visibilité pour le cas d’utilisation #2
Méthode de visibilité	Caractéristiques de la méthode
Kubernetes schéma ou Docker pattern (schéma)	SBOM La création fait partie de l’analyse du conteneur.
Kubernetes Agent de visibilité	SBOM La création fait également partie de l’analyse des conteneurs, mais l’utilisation d’ACC convient mieux aux entreprises qui ont besoin de flexibilité pour effectuer une découverte complète ou continue.

Cas d’utilisation #3: Un ingénieur a trouvé un défaut dans une image personnalisée et doit trouver tous les Kubernetes pods qui s’exécutent à l’aide de cette image.

Tableau 3. Méthodes de visibilité pour le cas d’utilisation #3
Méthode de visibilité	Caractéristiques de la méthode	Ce qui a été découvert
Kubernetes Modèle	Aqua Trivy L’analyse du conteneur n’est pas nécessaire. Vous pouvez identifier les pods à l’aide de schémas.	Kubernetes Grappes Kubernetes Conteneurs Kubernetes Prestations Étiquettes Pods Images Étiquettes
Kubernetes schéma avec découverte dans le cloud	Aqua Trivy L’analyse du conteneur n’est pas nécessaire. Vous pouvez identifier les pods à l’aide de schémas.	Tous les éléments ci-dessus et détails du compte ou de la région

Cas d’utilisation #4: Un ingénieur trouve un défaut dans une image personnalisée et doit trouver tous les Docker conteneurs (non Kubernetes) qui s’exécutent à l’aide de cette image.


Méthode de visibilité	Caractéristiques de la méthode	Ce qui a été découvert
Découverte horizontale du VM en cours d’exécution Docker (Docker schéma)	Aqua Trivy L’analyse du conteneur n’est pas nécessaire. Vous pouvez identifier les pods à l’aide de schémas.	Voir : Docker Virtualisation

Numérisation d’images avec Schémas de découverte et de mappage des services

Kubernetes et Docker les schémas s’intègrent à l’outil et exécutent des travaux planifiés pour détecter les Aqua Trivy images de conteneurs et les packages de système d’exploitation à des intervalles fixes de 10 images par minute. Pendant l’analyse, le modèle indique l’état de l’analyse. Le modèle détecte les packages de système d’exploitation qui sont liés à une image. Ensuite, il trouve les attributs de commande d’image comme la classe CI. En fonction des attributs de commande, le modèle crée des enregistrements d’application. En outre, le modèle utilise des scripts enrichis pour ajouter des détails aux enregistrements d’application. Ensuite, le modèle mappe les relations entre les packages du système d’exploitation et les conteneurs.

Une partie des données est renseignée dans CMDB des tables et une autre dans des tables de transformation (tables temporaires non CMDB). Les tables de transformation sont installées avec le schéma. Par exemple, les informations obtenues en analysant comprennent le registre d’origine, le nom du logiciel et sa version.