3.2. 容器内容扫描
容器扫描工具可利用不断更新的漏洞数据库,以确保始终了解容器内容的已知漏洞的最新信息。已知漏洞列表不断变化 ; 您必须在首次下载容器镜像时检查容器镜像的内容,并持续跟踪所有批准和部署的镜像的漏洞状态。
RHEL 提供了一个可插入的 API,以支持多个扫描仪。您还可以使用带有 OpenSCAP 的 Red Hat CloudForms 扫描容器镜像以了解安全问题。有关 RHEL 中 OpenSCAP 的一般信息,请参阅 Red Hat Enterprise Linux 安全指南 ,以及 Red Hat CloudForms 策略及侧写指南中有关 OpenSCAP 集成的具体内容。
OpenShift Container Platform 可让您在 CI/CD 过程中利用这些扫描程序。例如,您可以集成静态代码分析工具来测试源代码中的安全漏洞,并集成软件组成分析工具来标识开源库,以提供关于这些库的元数据,如已知漏洞。这在构建过程中进行了更详细的介绍。