前言

容器镜像安全是云原生应用交付安全的重要一环，对上传的容器镜像进行及时安全扫描，并基于扫描结果选择阻断应用部署，可有效降低生产环境漏洞风险。容器安全面临的风险有：镜像风险、镜像仓库风险、编排工具风险，小德今天就跟大家聊一聊镜像风险中的镜像扫描。

 镜像扫描是什么？

镜像扫描就是遍历所有镜像中的文件系统，逐个检查软件包（Package）是否包含安全漏洞。例如，假设定义了“高”的阀值，如果发现某镜像内含有危险程度为“高”的安全漏洞，将拒绝所有对该镜像的拉取请求。

举个例子，就像我们每天做的核酸检测一样，社区会对每一个人做核酸检测，社区就相当与一个镜像仓库，每一个人就相当于一个镜像文件，发现病例，就地隔离，防止病毒传播。

 镜像扫描的重要性

在云计算时代，越来越多的企业借助云原生踏上数字化转型之路，在数字化转型的潮流中，各大云厂商也在布局自己的云原生安全能力，保护云资产安全。

在享受云原生技术所带来便利的同时，云原生安全问题也成为大家关注的问题。黑客组织使用的技术，越来越高级，攻击也越来越频繁，而镜像扫描可以极大程度的发现潜在的漏洞。

市场上容器规模

根据目前权威的市场调查数据显示，72% 客户的容器规模为 100 个以上，4% 客户的容器规模超 5000 个，部署小规模容器的客户已经相当普遍，容器使用率迎来新增长。

伴随着容器的流行，它也成为黑客攻击的对象，容器安全受到重视。在容器安全方面，镜像安全是保护容器安全的基础，镜像扫描是解决镜像安全问题的基础手段。针对镜像风险问题，有效提升镜像扫描能力是关键。

保持容器镜像安全的两个方案

方案1：在镜像注册表中定期扫描

通过这种方式，我们需要为镜像注册表添加一个安全扫描程序，扫描程序可以是一个定时任务（Cron Job） 作业，也可以是由特定的人触发的可执行操作。

如果是一个定时任务，它将在特定时刻由定时任务自动触发。例如，Docker Hub 会在特定的时间扫描他们的官方注册表，当有任何漏洞被扫描出来时，它会向镜像维护者发送报警信息。

方案2：将扫描工具集成到 Pipeline 中

另一种方法是在 Pipeline 上对镜像产物进行扫描，这样更加简单高效。当我们将代码推送到代码存储库时， Pipeline 将自动执行扫描镜像的命令。因为 Pipeline 每次都是无差别地执行，所以我们可以发现任何安全问题并及时报警修复。

现在，越来越多的团队或公司使用敏捷来开发他们的项目。如果我们能够尽早地发现任何安全问题或者漏洞，我们就可以在产品发布之前降低产品的安全风险。Pipeline 是确保每一行代码和基础运行环境的安全性是的最好方法之一，因为它可以在提交代码时自动执行。

方案3：蜂巢自带镜像检测

蜂巢的镜像检查能力已经覆盖到开发、测试等多个环节中，可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

• 全生命周期的镜像扫描

• 功能模块化

持续的镜像补丁检测能力

持续更新漏洞数据库，并与集群中的容器镜像进行匹配。一旦发现任何新镜像补丁信息，用户将收到通知，而不必定期重新扫描。

全面的补丁数据呈现

深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁，综合考虑系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

灵活快速的检索方式

客户可根据需求灵活显示列表数据，定义表格显示。系统提供基于安全场景的筛选方式，如支持按 CVE 编号进行检索等，帮助用户迅速定位镜像和其安全补丁信息。

结论

目前，蜂巢·云原生安全平台客户已覆盖国央企、金融、运营商、互联网等100+头部客户。镜像扫描作为整个蜂巢·云原生安全平台中的重要部分，正在发挥着越来越重要的作用。