红帽全球峰会10.11. 扫描程序和元数据
本节介绍了与 Red Hat Quay 中安全扫描、元数据和工件关系相关的配置字段。
这些设置可通过允许 Red Hat Quay 来提高可见性和安全性:
- 与漏洞扫描程序集成,以评估已知 CVE 的容器镜像。
- 通过存储在 registry 中的模型卡呈现 AI/ML 模型元数据。
- 使用 Referrers API 来公开容器工件之间的关系,并与 OCI 工件规格保持一致。
这些功能一起有助于改进软件供应链透明性、实施安全策略并支持新兴元数据驱动的工作流。
10.11.1. Clair 安全扫描程序配置字段
Red Hat Quay 可以使用 Clair 安全扫描程序来检测容器镜像中的漏洞。这些配置字段控制扫描程序是如何启用的、它会索引新内容、使用端点的频率以及通知的处理方式。
| 字段 | 类型 | 描述 |
|---|---|---|
| FEATURE_SECURITY_SCANNER | 布尔值 |
启用或禁用安全扫描程序 |
| FEATURE_SECURITY_NOTIFICATIONS | 布尔值 |
如果启用了安全扫描程序,请打开或关闭安全通知 |
| SECURITY_SCANNER_V4_REINDEX_THRESHOLD | 字符串 |
此参数用于确定在重新索引后重新索引清单之前要等待的最短时间(以秒为单位)。数据从 manifestsecuritystatus 表中的 |
| SECURITY_SCANNER_V4_ENDPOINT | 字符串 |
V4 安全扫描程序的端点 |
| SECURITY_SCANNER_V4_PSK | 字符串 | 为 Clair 生成的预共享密钥(PSK) |
| SECURITY_SCANNER_ENDPOINT | 字符串 |
V2 安全扫描程序的端点 |
| SECURITY_SCANNER_INDEXING_INTERVAL | 整数 |
此参数用于确定安全扫描程序索引间隔之间的秒数。触发索引时,Red Hat Quay 将查询其数据库以获取需要由 Clair 索引的清单。这包括还没有索引的清单,以及之前失败的索引的清单。 |
| FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX | 布尔值 |
是否允许向新推送发送有关漏洞的通知。 |
| SECURITY_SCANNER_V4_MANIFEST_CLEANUP | 布尔值 |
Red Hat Quay 垃圾回收程序是否移除不由其他标签或清单引用的清单。 |
| NOTIFICATION_MIN_SEVERITY_ON_NEW_INDEX | 字符串 |
为检测到的漏洞上的新通知设置最小安全级别。避免在首次索引后创建大量通知。如果没有定义,则默认为 |
| SECURITY_SCANNER_V4_INDEX_MAX_LAYER_SIZE | 字符串 |
索引允许的最大层大小。如果层大小超过配置的大小,Red Hat Quay UI 会返回 |
安全扫描程序 YAML 配置
# ...
FEATURE_SECURITY_NOTIFICATIONS: true
FEATURE_SECURITY_SCANNER: true
FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX: true
...
SECURITY_SCANNER_INDEXING_INTERVAL: 30
SECURITY_SCANNER_V4_MANIFEST_CLEANUP: true
SECURITY_SCANNER_V4_ENDPOINT: http://quay-server.example.com:8081
SECURITY_SCANNER_V4_PSK: MTU5YzA4Y2ZkNzJoMQ==
SERVER_HOSTNAME: quay-server.example.com
SECURITY_SCANNER_V4_INDEX_MAX_LAYER_SIZE: 8G
# ...- 1
- 建议的最大值为
10G。
10.11.1.1. 使用 Clair v4 重新索引
当 Clair v4 索引清单时,结果应该是确定的。例如,同一清单应生成相同的索引报告。在更改扫描程序前,这是 true,因为使用不同的扫描程序会在报告中生成与特定清单相关的不同信息。因此,Clair v4 会公开索引引擎(/indexer/api/v1/index_state)的状态表示,以确定扫描程序配置是否已更改。
Red Hat Quay 通过在解析到 Quay 数据库时将其保存到索引报告来利用此索引状态。如果此状态自之前扫描后更改了,Red Hat Quay 会在定期索引过程中尝试重新索引该清单。
默认情况下,此参数被设置为 30 秒。如果他们希望索引过程更频繁地运行,用户可能会缩短时间,例如,如果他们不希望等待 30 秒才能在推送新标签后看到安全扫描结果。如果用户希望将请求模式更多地控制到 Clair,以及在 Red Hat Quay 数据库上执行的数据库操作模式,用户也可以更改该参数。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}