4.13. 镜像漏洞策略

应用镜像漏洞策略，以利用 Container Security Operator 来检测容器镜像是否有漏洞。如果没有安装 Container Security Operator，该策略会在受管集群上安装它。

镜像漏洞策略由 Kubernetes 配置策略控制器负责检查。有关 Security Operator 的更多信息，请参阅 Quay 存储库中的 Container Security Operator。

备注：

镜像漏洞策略在断开连接的安装过程中无法正常工作。
IBM Power 和 IBM Z 架构不支持镜像漏洞策略。它依赖于 Quay Container Security Operator。container-security-operator registry 中没有 ppc64le 或 s390x 镜像。

查看以下部分以了解更多信息：

4.13.1. 镜像漏洞策略 YAML 结构

在创建容器安全 Operator 策略时，它会涉及以下策略：

创建订阅的策略 (container-security-operator) 来引用名称和频道。此配置策略必须将 spec.remediationAction 设置为 enforce 来创建资源。订阅会拉取配置集，作为订阅支持的容器。查看以下示例：

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-sub
spec:
  remediationAction: enforce  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: Subscription
        metadata:
          name: container-security-operator
          namespace: openshift-operators
        spec:
          # channel: quay-v3.3 # specify a specific channel if desired
          installPlanApproval: Automatic
          name: container-security-operator
          source: redhat-operators
          sourceNamespace: openshift-marketplace

一个 inform 配置策略来审核 ClusterServiceVersion，以确保容器安全 Operator 安装成功。查看以下示例：

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-status
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  object-templates:
    - complianceType: musthave
      objectDefinition:
        apiVersion: operators.coreos.com/v1alpha1
        kind: ClusterServiceVersion
        metadata:
          namespace: openshift-operators
        spec:
          displayName: Red Hat Quay Container Security Operator
        status:
          phase: Succeeded   # check the CSV status to determine if operator is running or not

一个 inform 配置策略，用于审核镜像漏洞扫描创建的任何 ImageManifestVuln 对象。查看以下示例：

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-imv
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  namespaceSelector:
    exclude: ["kube-*"]
    include: ["*"]
  object-templates:
    - complianceType: mustnothave # mustnothave any ImageManifestVuln object
      objectDefinition:
        apiVersion: secscan.quay.redhat.com/v1alpha1
        kind: ImageManifestVuln # checking for a Kind

4.13.2. 镜像漏洞策略示例

请参阅 policy-imagemanifestvuln.yaml。如需更多信息，请参阅管理安全策略。请参阅 Kubernetes 配置策略控制器，以查看配置控制器监控的其他配置策略。

4.13. 镜像漏洞策略

4.13.1. 镜像漏洞策略 YAML 结构

4.13.2. 镜像漏洞策略示例

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links