搜索

3.19. 安全扫描程序配置字段

download PDF
表 3.17. 安全扫描程序配置
字段类型描述

FEATURE_SECURITY_SCANNER

布尔值

启用或禁用安全扫描程序

默认: false

FEATURE_SECURITY_NOTIFICATIONS

布尔值

如果启用了安全扫描程序,请打开或关闭安全通知

默认: false

SECURITY_SCANNER_V4_REINDEX_THRESHOLD

字符串

此参数用于决定在重新索引之前具有之前失败或自上索引以来已更改状态的最短时间(以秒为单位)。数据通过 manifestsecuritystatus 表中的 last_indexed datetime 来计算。这个参数用于避免在每次索引运行时都尝试重新索引每个失败清单。重新索引的默认时间为 300 秒。

SECURITY_SCANNER_V4_ENDPOINT

字符串

V4 安全扫描程序的端点

Pattern:
^http (s)?://(.)+$

Example:
http://192.168.99.101:6060

SECURITY_SCANNER_V4_PSK

字符串

Clair 所生成的预共享密钥(PSK)

SECURITY_SCANNER_ENDPOINT

字符串

V2 安全扫描程序的端点

Pattern:
^http (s)?://(.)+$

示例:
http://192.168.99.100:6060

SECURITY_SCANNER_INDEXING_INTERVAL

整数

这个参数用于决定安全扫描程序索引间隔间隔的秒数。当索引被触发时,Red Hat Quay 将查询其数据库以获取由 Clair 索引的清单。这包括尚未索引的清单,以及之前失败的索引清单。

默认值:30

FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX

布尔值

是否允许发送有关新推送的漏洞的通知。
默认:True

SECURITY_SCANNER_V4_MANIFEST_CLEANUP

布尔值

Red Hat Quay 垃圾回收程序会删除没有由其他标签或清单引用的清单。
默认:True

NOTIFICATION_MIN_SEVERITY_ON_NEW_INDEX

字符串

为检测到的漏洞上的新通知设置最小安全级别。避免在首次索引后创建大量通知。如果没有定义,则默认为 High。可用的选项包括 CriticalHighMediumNegligibleUnknown

SECURITY_SCANNER_V4_INDEX_MAX_LAYER_SIZE

字符串

索引允许的最大层大小。如果层大小超过配置的大小,Red Hat Quay UI 会返回 以下消息:此标签的清单具有太大的层,供 Quay Security Scanner 进行索引
示例8G

3.19.1. 使用 Clair v4 重新索引

当 Clair v4 索引清单时,结果应该是确定的。例如,同一清单应该生成相同的索引报告。这在扫描程序被改变前为 true,因为使用不同的扫描程序会生成与报告中返回的特定清单相关的信息。因此,Clair v4 会公开索引引擎(/indexer/api/v1/index_state)的状态表示,以确定扫描程序配置是否已改变。

在解析到 Quay 数据库时,Red Hat Quay 将这个索引状态保存到索引报告中。如果因为清单之前扫描以来此状态已更改,Red Hat Quay 会在定期索引过程中尝试重新索引该清单。

默认情况下,此参数设为 30 秒。如果用户希望更频繁地运行索引过程,用户可能会缩短。例如,如果他们不希望在推送新标签后等待 30 秒时间查看 UI 的安全扫描结果。如果用户希望对请求模式进行更多控制,以及要在 Red Hat Quay 数据库上执行的数据库操作的模式,用户也可以更改参数。

3.19.2. 安全扫描程序配置示例

以下 YAML 是启用安全扫描程序功能时推荐的配置。

安全扫描程序 YAML 配置

FEATURE_SECURITY_NOTIFICATIONS: true
FEATURE_SECURITY_SCANNER: true
FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX: true
...
SECURITY_SCANNER_INDEXING_INTERVAL: 30
SECURITY_SCANNER_V4_MANIFEST_CLEANUP: true
SECURITY_SCANNER_V4_ENDPOINT: http://quay-server.example.com:8081
SECURITY_SCANNER_V4_PSK: MTU5YzA4Y2ZkNzJoMQ==
SERVER_HOSTNAME: quay-server.example.com
SECURITY_SCANNER_V4_INDEX_MAX_LAYER_SIZE: 8G
...

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.