Explorer Vulnerability Response pour conteneurs

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • L’application Vulnerability Response pour conteneurs importe les éléments vulnérables (CVIT) du conteneur. Selon les règles, la fonctionnalité vous permet de corriger les vulnérabilités du conteneur. Vulnerability Response pour conteneurs est disponible via un abonnement distinct.

    Contrairement aux applications traditionnelles, les conteneurs regroupent tous les codes sources des applications ainsi que leurs dépendances dans un fichier binaire appelé image de conteneur. L’image est publiée dans un registre pour fournir une option permettant d’exécuter cette image en tant qu’application ou instance de conteneur sur n’importe quelle plateforme. Les étapes du cycle de vie de pré-déploiement d’un conteneur sont les suivantes :
    1. Composer l’image du conteneur : l’image du conteneur est composée et pointée vers un code source ou une bibliothèque dépendante.
    2. Créer l'image du conteneur
    3. Publier l’image du conteneur : le fichier d’image du conteneur est publié dans un registre. Chaque image possède son propre identifiant unique basé sur le contenu de l’image. Ces images sont extraites du Registre et transférées dans l’environnement d’exécution en mode post-déploiement. Les images s’exécutent ensuite en tant qu’instances de conteneur sur l’hôte dans l’environnement de production.

    Analyse des images du conteneur

    Une image de conteneur peut être analysée à la recherche de vulnérabilités avant ou après le déploiement. Si les images de conteneur sont analysées pendant la phase de pré-déploiement, vous pouvez recevoir de nombreuses alertes de vulnérabilité qui ne nécessitent pas votre attention immédiate. Toutefois, l’analyse des vulnérabilités pendant la phase post-déploiement offre de plus grands avantages, tels que les suivants :
    • Fournir une visibilité sur le risque associé aux applications déployées.
    • Fournissant une vue focalisée uniquement sur les images de l’environnement de production.
    • Identifier et hiérarchiser les vulnérabilités qui doivent être traitées immédiatement.
    • Regroupement et affectation des vulnérabilités en fonction des métadonnées de l’image. Par exemple, un référentiel d’images, une étiquette d’image et d’autres attributs associés à l’image du conteneur peuvent être utilisés pour les règles de regroupement et d’affectation.
    Chaque image de conteneur comporte les composants clés suivants :
    • Conteneur ou référentiel d’images : représente l’image Docker avec un référentiel ou un nom donné. Il héberge toutes les versions de l’image.
    • Image de Docker : représente une version spécifique de l’image Docker de version.
    • Conteneur Docker : représente une instance en cours d’exécution de l’image Docker. Chaque version a un ID unique et possède plusieurs instances de conteneurs en cours d’exécution dans l’environnement de production.

    Vulnerability Response pour conteneurs modules

    Le Vulnerability Response pour conteneurs module fournit des détails sur les points suivants :
    Éléments vulnérables de conteneurs
    Les éléments vulnérables de conteneurs (CVIT) sont regroupés et répertoriés en fonction de leur affectation, de leur criticité, de leur exploitabilité et de l’état du rattrapage.
    Bibliothèques
    Accédez à la base de données de vulnérabilité nationale (NVD) et à des bibliothèques tierces. Alors que la bibliothèque NVD fournit des informations limitées à l’ID de l’élément de vulnérabilité, elle fournit la plupart des détails sur un élément de vulnérabilité. Les informations de l’écran NVD ne sont remplies que lorsque l’intégration NVD est déclenchée.
    Administration
    Le module Administration fournit des informations sur les règles d’affectation des éléments vulnérables, les règles de cible de rattrapage et les intégrations de vulnérabilité des conteneurs. En outre, vous pouvez également configurer la durée après laquelle un élément vulnérable doit être fermé automatiquement. Vous pouvez utiliser la section Configurer la granularité VI pour configurer la granularité des CVIT en spécifiant les combinaisons de touches. Par défaut, un CVIT est créé pour une combinaison d’un référentiel d’images, d’une balise d’image et d’une vulnérabilité. Vous pouvez ajouter des composants supplémentaires à la clé pour plus de granularité. Par exemple, vous pouvez créer un CVIT pour une combinaison de référentiel d’images, de balise d’image, de vulnérabilité et de grappe.

    Versions disponibles

    Version Notes de publication

    Vulnerability Response pour conteneurs V2.1

    Vulnerability Response pour conteneurs v2.06

    Vulnerability Response pour conteneurs v2.0.4