3.19. 安全扫描程序配置字段
| 字段 | 类型 | 描述 |
|---|---|---|
| FEATURE_SECURITY_SCANNER | 布尔值 |
启用或禁用安全扫描程序 |
| FEATURE_SECURITY_NOTIFICATIONS | 布尔值 |
如果启用了安全扫描程序,请打开或关闭安全通知 |
| SECURITY_SCANNER_V4_REINDEX_THRESHOLD | 字符串 |
此参数用于确定在重新索引以来具有之前失败或自上次索引后更改状态的清单前要等待的最短时间(以秒为单位)。数据从 manifestsecuritystatus 表中的 |
| SECURITY_SCANNER_V4_ENDPOINT | 字符串 |
V4 安全扫描程序的端点 |
| SECURITY_SCANNER_V4_PSK | 字符串 | 为 Clair 生成预共享密钥(PSK) |
| SECURITY_SCANNER_ENDPOINT | 字符串 |
V2 安全扫描程序的端点 |
| SECURITY_SCANNER_INDEXING_INTERVAL | 整数 |
此参数用于确定安全扫描程序中索引间隔间隔之间的秒数。触发索引时,Red Hat Quay 将查询其数据库以获取由 Clair 索引的清单。这包括尚未索引的清单,以及之前失败的索引清单。 |
| FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX | 布尔值 |
是否允许发送有关新推送的漏洞的通知。 |
| SECURITY_SCANNER_V4_MANIFEST_CLEANUP | 布尔值 |
Red Hat Quay 垃圾回收程序会删除没有由其他标签或清单引用的清单。 |
3.19.1. 使用 Clair v4 重新索引
当 Clair v4 索引清单时,结果应该是确定的。例如,同一清单应生成相同的索引报告。在扫描程序更改前,这为 true,因为使用不同的扫描程序会生成与报告返回的特定清单相关的不同信息。因此,Clair v4 会公开索引引擎(/indexer/api/v1/index_state)的状态表示,以确定扫描程序配置是否已更改。
Red Hat Quay 通过在解析到 Quay 数据库时将其保存到索引报告中来利用这个索引状态。如果因为清单之前扫描以来此状态已更改,Red Hat Quay 会在定期索引过程中尝试重新索引该清单。
默认情况下,此参数设置为 30 秒。如果用户希望索引过程更频繁地运行,例如,如果他们不希望等待 30 秒在推送新标签后查看 UI 中的安全扫描结果,则用户可能会缩短时间。如果用户希望对请求模式进行更多控制,以及要在 Red Hat Quay 数据库上执行的数据库操作的模式,用户也可以更改参数。
3.19.2. 安全扫描程序配置示例
以下 YAML 是启用安全扫描程序功能时推荐的配置。
安全扫描程序 YAML 配置
FEATURE_SECURITY_NOTIFICATIONS: true FEATURE_SECURITY_SCANNER: true FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX: true ... SECURITY_SCANNER_INDEXING_INTERVAL: 30 SECURITY_SCANNER_V4_MANIFEST_CLEANUP: true SECURITY_SCANNER_V4_ENDPOINT: http://quay-server.example.com:8081 SECURITY_SCANNER_V4_PSK: MTU5YzA4Y2ZkNzJoMQ== SERVER_HOSTNAME: quay-server.example.com ...
