第 7 章 使用 Container Security Operator 扫描 pod 镜像

流程

1. 在 OpenShift Container Platform 控制台页面中，选择 Operators OperatorHub 并搜索 Container Security Operator。
2. 选择 Container Security Operator，然后选择 Install 进入 Create Operator Subscription 页面。
3. 检查设置（默认所有命名空间和自动批准策略），然后选择 Subscribe。容器安全性 会在 Installed Operators 屏幕中几分钟后出现。

4. 可选：您可以在 CSO 中添加自定义证书。在本例中，在当前目录中创建一个名为 quay.crt 的证书。然后，运行以下命令将证书添加到 CSO 中：

   $ oc create secret generic container-security-operator-extra-certs --from-file=quay.crt -n openshift-operators

   Copy to Clipboard Toggle word wrap
   注意

   您必须重启 Operator pod 才能使新证书生效。

5. 导航到 Home Dashboards。Image Security 的链接会出现在 status 部分，其中列出了目前发现的漏洞数。选择链接来查看安全分类，如下图所示：

   

   重要

   Container Security Operator 目前为红帽安全公告提供损坏的链接。例如，可能提供以下链接 ：https://access.redhat.com/errata/RHSA-2023:1842%20https://access.redhat.com/security/cve/CVE-2023-23916。URL 中的 %20 代表空格字符，但目前将两个 URL 的组合成一个不完整的 URL，例如 https://access.redhat.com/errata/RHSA-2023:1842 和 https://access.redhat.com/security/cve/CVE-2023-23916。作为临时解决方案，您可以将每个 URL 复制到浏览器中，以导航到正确的页面。这是一个已知问题，并将在以后的 Red Hat Quay 版本中解决。

6. 对于任何检测到的安全漏洞，您可以在此时进行两个操作之一：

   1. 选择到这个漏洞的链接。您会进入容器来自的容器 registry、Red Hat Quay 或其他 registry，您可以在其中查看有关该漏洞的信息。下图显示了从 Quay.io registry 中检测到的漏洞示例：

      

   2. 选择 namespaces 链接以进入 ImageManifestVuln 界面，您可以在其中查看所选镜像的名称以及该镜像正在运行的所有命名空间。下图显示了特定存在漏洞的镜像在两个命名空间中运行：