第6章 クレアセキュリティスキャン

Clair V4 (registry.redhat.io/quay/clair-rhel8:v3.4.6) は Red Hat Quay が使用している Clair のバージョンですが、Clair V4 とそれ以前の Clair V2 (quay.io/redhat/clair-jwt) の両方が Red Hat Quay と同時に実行可能となっています。これは、Clair V2に依存していたが、Clair V4を使用してスキャン結果を中断しないようにしたいという、既存のRed Hat Quayのデプロイメントに有効です。新しい画像のスキャンはすべてClair V4で行われ、既存の画像は自動的に再スキャンされます。Red Hat Quayを通じてスキャン結果が要求された場合、新しいClair V4の結果が利用できない場合は、既存のClair V2の結果が取得されます。Clair V2のスキャン結果が不要になったら、デコミッションしてRed Hat Quayの構成から削除することができます。

画像の再スキャンの進行状況は、Red Hat Quay APIを介して監視することができます。(詳細はUsing The Quay APIを参照してください）

/secscan/_backfill_status

/secscan/_backfill_status

これにより、Clair V4でスキャンされたマニフェストの完成率を示すシンプルなJSONレスポンスが生成されます。

{"backfill_percent": 73.4}

{"backfill_percent": 73.4}

レジストリ内の大部分のイメージがClair V4によってスキャンされたら、Clair V2のデプロイメントを完全に削除する必要があります（実行中のコンテナとコンフィグからの削除の両方）。