操作场景
腾讯云容器镜像服务(Tencent Container Registry,TCR)企业版支持对托管的容器镜像进行安全扫描,生成扫描报告,暴露容器镜像内潜在的安全漏洞,并提供修复建议。容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。
镜像部署阻断功能内置在命名空间层级,可选择开启该功能,并配置阻断规则及可忽略的镜像漏洞。开启该功能后,如容器客户端尝试拉取符合阻断策略的容器镜像,将被阻断,并返回相关报错说明。
前提条件
在使用镜像部署阻断功能前,您需要完成以下准备工作:
操作步骤
配置阻断策略
1. 登录 容器镜像服务 控制台,选择左侧导航栏中的命名空间。 2. 在命名空间页面,单击需配置阻断策略的实例名称,进入命名空间详情页。
3. 在部署安全页面,开启启动阻断,并配置需要阻断的漏洞等级。
配置漏洞白名单
已开启部署阻断后,可配置漏洞白名单,输入一条或多条 CVE ID,并用英文逗号分隔。如果镜像安全扫描结果中包含该漏洞 ID,将被阻断策略忽略。即如果该镜像内有一高危漏洞,但高危漏洞已被配置为白名单,则即便已配置阻断具有高危漏洞的镜像拉取,该镜像仍可正常拉取。