第 9 章 使用 Container Security Operator 扫描 pod 镜像

步骤

1. 在 OpenShift Container Platform 控制台页面中，选择 Operators OperatorHub 并搜索 Container Security Operator。
2. 选择 Container Security Operator，然后选择 Install 进入 Create Operator Subscription 页面。
3. 检查设置（所有命名空间和自动批准策略），然后选择 Subscribe。在 Installed Operators 屏幕中几分钟后会出现 Container Security。

4. 可选：您可以在 CSO 中添加自定义证书。在本例中，在当前目录中创建一个名为 quay.crt 的证书。然后，运行以下命令将证书添加到 CSO 中：

   $ oc create secret generic container-security-operator-extra-certs --from-file=quay.crt -n openshift-operators

   注意

   您必须重启 Operator pod 才能使新证书生效。

5. 进入到 Home Overview。至镜像漏洞的链接会出现在 status 部分中，以及目前发现的漏洞数量的列表。选择查看安全分类的链接，如下图所示：

   

   重要

   Container Security Operator 目前为 Red Hat 安全公告提供了有问题的链接。例如，可能会提供以下链接 ：https://access.redhat.com/errata/RHSA-2023:1842%20https://access.redhat.com/security/cve/CVE-2023-23916。URL 中的 %20 代表空格字符，但它目前将两个 URL 组合为一个不完整的 URL，例如 https://access.redhat.com/errata/RHSA-2023:1842 和 https://access.redhat.com/security/cve/CVE-2023-23916。作为临时解决方案，您可以将每个 URL 复制到您的浏览器中，以导航到正确的页面。这是一个已知问题，并将在以后的 Red Hat Quay 版本中解决。

6. 对于任何检测到的安全漏洞，您可以在此时进行两个操作之一：

   1. 选择到这个漏洞的链接。您会进入容器 registry、Red Hat Quay 或其他来自容器的 registry，您可以在其中查看有关漏洞的信息。下图显示了从 Quay.io registry 中检测到的漏洞示例：

      

   2. 选择 namespaces 链接以进入 Image Manifest Vulnerabilities 页面，您可以在其中查看所选镜像的名称以及运行该镜像的所有命名空间。下图显示了特定存在安全漏洞的镜像在两个命名空间中运行：