Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.14. 镜像漏洞策略

应用镜像漏洞策略,以利用 Container Security Operator 来检测容器镜像是否有漏洞。如果没有安装 Container Security Operator,该策略会在受管集群上安装它。

镜像漏洞策略由 Kubernetes 配置策略控制器负责检查。有关 Security Operator 的更多信息,请参阅 Quay 存储库中的 Container Security Operator

备注:

  • 镜像漏洞策略在断开连接的安装过程中无法正常工作。
  • ARM 架构不支持镜像漏洞策略。

查看以下部分以了解更多信息:

4.14.1. 镜像漏洞策略 YAML 结构
复制链接

在创建容器安全 Operator 策略时,它会涉及以下策略:

  • 创建订阅的策略 (container-security-operator) 来引用名称和频道。此 operator 策略必须将 spec.remediationAction 设置为 enforce 才能创建资源。查看以下示例: 

    apiVersion: policy.open-cluster-management.io/v1beta1
kind: OperatorPolicy
metadata:
  name: operatorpolicy-imagemanifestvuln
spec:
  remediationAction: enforce
  severity: high
  complianceType: musthave
  upgradeApproval: Automatic
  subscription:
    name: container-security-operator
    namespace: openshift-operators
    source: redhat-operators
    sourceNamespace: openshift-marketplace
    Copy to Clipboard Toggle word wrap

  • 一个 inform 配置策略,用于审核镜像漏洞扫描创建的任何 ImageManifestVuln 对象。查看以下示例: 

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-imv
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  namespaceSelector:
    exclude: ["kube-*"]
    include: ["*"]
  object-templates:
    - complianceType: mustnothave # mustnothave any ImageManifestVuln object
      objectDefinition:
        apiVersion: secscan.quay.redhat.com/v1alpha1
        kind: ImageManifestVuln # checking for a Kind
    Copy to Clipboard Toggle word wrap

4.14.2. 镜像漏洞策略示例
复制链接

如需更多信息,请参阅:

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat