处理仓库中的镜像

“资源 → 资产 → 仓库”部分包含卡巴斯基容器安全扫描的镜像列表以及镜像扫描结果。该列表包括与卡巴斯基容器安全集成的仓库中的镜像。您可以自动或手动向该列表添加镜像。

当您在“管理”中配置与仓库的集成以及拉取和扫描仓库镜像的设置之前，镜像列表为空。

镜像列表显示为表格，镜像按存储库分组。

您可以在“资源 → 资产 → 仓库”部分中执行以下操作：

• 按名称或校验和搜索镜像。

  仅在选定的活动镜像仓库中进行搜索。如果所查找的镜像不在所选仓库中，而是其他仓库的一部分，则搜索不会给出任何结果。

• 筛选列表以显示符合指定条件的镜像：
  • 仅限指定仓库中的镜像；
  • 符合或不符合基准的镜像；
  • 在指定时间段内扫描的镜像；
  • 已识别出指定风险的镜像。
• 开始重新扫描指定镜像（选择一个或多个镜像后，表格上方会显示“重新扫描”按钮）。
• 生成所选镜像的报告（选择一个或多个镜像后，表格上方会显示“创建报告”按钮）。
• 将镜像添加到列表中和从列表中删除镜像。
• 查看有关镜像扫描结果的详细信息。

添加和删​​除镜像

与卡巴斯基容器安全集成的仓库中的镜像可以自动添加到镜像列表中，与为每个仓库拉取和扫描镜像所配置的设置一致。您还可以手动向仓库镜像列表中添加镜像。新镜像将排队等待扫描。

要手动向列表添加镜像：

1. 在“资源 → 资产 → 仓库”部分中，执行以下操作之一：
   • 从列表中选择一个存储库，打开位于存储库名称右侧的操作菜单，然后选择“添加镜像”。
   • 单击表格上方的“添加镜像”按钮。

   您不能将镜像添加到根据外部 Harbor 仓库的请求创建的镜像仓库中。

2. 执行以下操作之一：
   • 如果从所选存储库添加镜像，请在打开的窗口中选择所需的镜像标签，然后单击“添加镜像”按钮。
   • 如果使用表格上方的“添加镜像”按钮添加镜像 ，则在打开的窗口中，依次选择仓库、存储库、一个或多个镜像，然后单击“添加镜像”按钮。

为了优化镜像仓库的负载，每 10 分钟生成一次所连接仓库中镜像的列表。新镜像出现在仓库中后，可能会延迟指定的时间后才显示在卡巴斯基容器安全界面中。

要从列表中删除镜像：

1. 在“资源 → 资产 → 仓库”部分中，执行以下操作之一：
   • 从列表中选择要删除的一个或多个镜像，然后使用表格上方的“删除”链接开始删除。
   • 在列表中，选择要删除的镜像的存储库，打开存储库名称所在行的操作菜单，然后选择“删除存储库”。
2. 在打开的窗口中，确认删除。

查看仓库的镜像扫描结果

有关存储库中所有镜像和每个特定镜像的扫描结果的摘要信息显示在“资源 → 资产 → 仓库”部分的镜像列表中。

单击镜像名称链接可打开包含镜像扫描结果详细信息的页面。

窗口顶部的选项卡包含以下信息：

• “风险”选项卡提供扫描结果的摘要。如果在扫描过程中检测到威胁，页面底部会提供推荐的保护镜像的操作。单击“重新扫描镜像”按钮可重复扫描镜像。
• “漏洞”选项卡显示在镜像中检测到的漏洞。点击漏洞名称中的链接，即可打开漏洞的详细描述，并了解是否存在
  漏洞利用

  利用系统或应用程序软件中的某些漏洞的程序代码。漏洞利用经常被用来在用户不知情的情况下将恶意软件安装到计算机上。

  。

  卡巴斯基容器安全从连接的漏洞数据库接收漏洞描述。该描述以漏洞数据库的语言提供。例如，来自 NVD 的漏洞描述以英语显示。
  解决方案中的漏洞分类与连接的漏洞数据库中使用的分类相匹配。

• “层”选项卡显示镜像中使用的层以及已识别漏洞的规格。单击层名称链接可打开已识别漏洞的详细描述。
• “资源”选项卡展示资源（组件）以及已识别漏洞的规格。单击资源名称链接可打开已识别漏洞的详细描述。
• “恶意软件”选项卡列出了在镜像中检测到的恶意软件。单击恶意软件名称链接可打开详细描述。
• “敏感数据”选项卡将显示在镜像中发现的敏感数据（机密），例如密码、访问密钥或令牌。
• “错误配置”选项卡显示检测到的构成威胁的镜像错误配置。单击错误配置名称链接可打开详细描述。
• “信息”选项卡提供有关镜像和镜像历史记录的基本信息。
• “扫描历史记录”显示每个镜像版本的最新扫描结果。如果扫描相同版本的镜像，结果会更新；如果扫描不同版本的镜像，结果会添加到表格的单独行中。

以下信息为每个镜像显示：

• 对安全策略要求的符合情况。
• 风险评级，表明风险严重程度。
• 上次扫描的日期和时间。

在镜像中包含漏洞、恶意软件、敏感数据和配置错误的对象的数量。对于漏洞，将针对每个已识别的风险严重程度级别分别标明对象数量。

• 在当前范围内采用适当的安全策略进行镜像扫描的结果。

如果某个镜像包含在通过 Harbor 请求与解决方案集成时创建的镜像仓库中，则解决方案会指示这一点，并使用 Harbor 图标 (）标记镜像。

您可以通过单击创建报告按钮生成有关镜像的详细报告。您也可以通过单击重新扫描按钮来启动重新扫描镜像。

无法对卡巴斯基容器安全从通过 Harbor 请求与解决方案集成期间创建的镜像仓库中收到的镜像进行重新扫描。

您可以接受每个已识别的风险。

关于风险评级

卡巴斯基容器安全软件进行扫描后，会对扫描对象进行风险评级。扫描时，解决方案可能会检测到对象中包含的以下全部或部分安全问题：

• 漏洞
• 恶意软件
• 敏感数据
• 错误配置

根据安全威胁的严重程度，对检测到的每个风险分配以下风险等级之一：

• 可忽略。
• 低。
• 中。
• 高。
• 严重。

如果扫描过程中未检测到安全问题，则该镜像被视为安全并被标记为“正常”。

检测到的漏洞、恶意软件、敏感数据或错误配置的风险等级与用于扫描的安全威胁数据库中指定的等级相对应（例如，NVD、VDB）。这些漏洞和威胁数据库使用特殊的评分标准来评估安全威胁的严重程度。例如，NVD 中应用了通用漏洞评分系统 (CVSS)。

在所有已检测到的对象中，该对象的严重程度最高，风险评级也最高。

例如，在对象扫描期间检测到以下安全威胁：

• 严重程度较低的漏洞；
• 严重程度高且至关重要的敏感数据；
• 中等严重程度的配置错误；
• 低严重程度的恶意软件。

此处，如果检测到的威胁的严重程度为最高，则对应的风险等级为严重。

有关检测到的漏洞的详细信息

要查看在镜像中检测到的漏洞的详细信息：

在包含镜像扫描结果的窗口中，选择“漏洞”选项卡。

镜像扫描期间检测到的漏洞列表以表格形式呈现，其中为每个漏洞提供以下信息：

• 漏洞列包含漏洞条目的 ID。标识符以 CVE-YYYY-X... 格式给出，其中：
  • CVE 是一个前缀，表示该漏洞已包含在已知漏洞和安全缺陷数据库中。
  • YYYY 是报告该漏洞的年份。
  • X... 是授权机构分配给漏洞的编号。
• 严重性列根据漏洞的风险等级指定其严重性级别。

  如果漏洞包含漏洞利用，则漏洞利用图标 () 会显示在严重级别旁边。

• 资源列表示在其中检测到漏洞的已安装容器化资源。

您可以通过单击风险接受列中的“接受”按钮接受漏洞的风险。

要查看在镜像中检测到的漏洞的详细信息：

1. 执行以下操作之一：
   • 在镜像扫描结果窗口中，转到“漏洞”选项卡，然后单击表格“漏洞”列中带有漏洞条目 ID 的链接。
   • 在仪表板的漏洞部分中，单击带有漏洞记录 ID 的链接。
2. 这将打开侧边栏，其中包含有关检测到的漏洞的以下信息：
   • 漏洞条目标识符
   • 来自漏洞数据库的漏洞描述。该描述以漏洞数据库的语言提供。例如，NVD 的漏洞描述以英文显示。
   • 常规信息选项卡显示以下内容：
     • 漏洞严重级别。
     • 在其中检测到漏洞的已安装资源。
     • 基于
       NVD

       国家信息安全漏洞库 (NVD) 是美国政府基于标准的漏洞管理数据存储库，其中的数据使用安全内容自动化协议表示。

       、
       VDB

       数据安全威胁数据库（DSTD 或 VDB）是俄罗斯联邦技术出口管制局 (FSTEC) 维护的国家漏洞数据库。

       和
       RED OS

       俄罗斯通用操作系统 RED OS 支持扫描可能威胁服务和工作站功能的漏洞。

       漏洞数据库中的
       CVS

       通用漏洞评分系统是对漏洞进行评分的开放标准。CVSS 指定了一组用于对漏洞严重性进行评分的指标和公式，其值为 0（最小值）到 10（最大值）。CVSS 允许您根据漏洞严重程度分配漏洞响应工作。

       S 开放标准的漏洞严重程度分数，以及最终的综合漏洞严重程度分数。

     在此选项卡上，您可以单击“接受”来接受漏洞的风险。

     当仪表板上的侧边栏打开时，不会显示“接受”按钮，无法接受风险。

   • 扫描详细信息选项卡显示以下内容：
     • 在其中检测到漏洞的镜像
     • 扫描的操作系统
     • 首次检测到漏洞的日期和时间
     • 上次扫描图像的日期和时间
   • 工作负载选项卡显示检测到的工作负载列表和工作负载的数量。

有关检测到的恶意软件的详细信息

如果镜像扫描检测到恶意软件，解决方案会在包含镜像扫描结果信息的页面上显示这一情况。要查看有关检测到的恶意对象的详细信息，请在包含镜像扫描结果的窗口中选择“恶意软件”选项卡。

对于每个对象，解决方案都会生成 MD5 或 SHA256 哈希，并指示检测到该对象的位置的路径。

您可以在

卡巴斯基 OpenTIP 门户上的威胁描述页面公开可用。用户必须输入其账户凭据才能访问卡巴斯基 TIP。

扫描镜像中的 Java 软件包

卡巴斯基容器安全可以扫描注册表镜像中包含的 Java 软件包。为此，该解决方案使用 Java 漏洞数据库。

可以用卡巴斯基容器安全 v1.2.1 及更高版本扫描 Java 软件包。如果您安装了早期版本，则必须将解决方案更新到 v1.2.1. 才能使用此功能。

您可以通过设置 values.yaml 文件中ENABLE_JAVA_VULN环境变量的值来配置 Java 软件包的扫描。如果ENABLE_JAVA_VULN = true，卡巴斯基容器安全将使用 Java 漏洞数据库执行扫描。如果ENABLE_JAVA_VULN = false，则不会扫描 Java 软件包。

默认情况下，ENABLE_JAVA_VULN被设置为false。

分发套件中提供的 kcs-updates 组件 v1.2.1 包含 Java 漏洞数据库。使用此组件时，您应该确保 values.yaml 文件中的环境变量定义如下：

ENABLE_JAVA_VULN = true

KCS_UPDATES_TAG=v1.2.1

KCS_UPDATES=true

如果 Java 软件包扫描被激活（ENABLE_JAVA_VULN = true），kcs-scanner 解决方案组件将下载 Java 漏洞数据库并相应地通知 kcs-middleware 和 kcs-ih 组件。然后，kcs-ih 组件从kcs-scanner 接收数据库文件，组装并验证数据库，并在扫描期间使用它。

使用 Java 漏洞数据库发现的漏洞显示在镜像扫描结果中。

卡巴斯基容器安全还可以在使用外部扫描器时在 CI/CD 过程中扫描外部注册表中的镜像中的 Java 软件包。在这种情况下，您必须使用带有v1.2.1-with-db-java标签的扫描器，其中包含预安装的 Java 漏洞数据库。指定的扫描器的配置和使用与v1.2.1-with-db扫描器类似。