Анализ образов

В разделе Безопасность кластера на странице Анализ образов представлены результаты сканирования образов контейнеров на предмет уязвимости с помощью утилиты Trivy Operator. На странице есть возможность скачать отчет в формате CSV или PDF и доступна фильтрация по неймспейсам.

Скриншот

cvereport

В графическом интерфейсе отображается только отчет одного сканирования. Каждый новый отчет заменяет предыдущий.

Уязвимости представлены по степени критичности.

Классификация уязвимостей по степени критичности в Trivy

  • 0-2.9: Низкая критичность (Low). Уязвимости с таким рейтингом могут быть отложены на неопределенный срок или защищены другими методами, такими как фаерволы, контроллеры целостности и т.д.

  • 3.0-6.9: Средняя критичность (Medium). Уязвимости с таким рейтингом могут привести к потенциальному нарушению безопасности системы и дополнительной защите.

  • 7.0-8.9: Высокая критичность (High). Уязвимости с этим рейтингом могут привести к деградации системной производительности и/или безусловного нарушения безопасности системы.

  • 9.0-10.0: Критическая (Critical). Уязвимости с этим рейтингом могут привести к полному контролю злоумышленника над системой.

В отчетах по уязвимости могут отображаться уязвимости с критичностью High и Critical, которые не применимы для образов контейнеров компонентов в платформе “Штурвал”. Чтобы исключить такие уязвимости из отчета, выполните шаги инструкции.

Нажатие на строку уязвимости открывает боковое окно с дополнительной информацией.

Скриншот

trivyreport1

Способы устранения уязвимостей

  • Обновление уязвимых пакетов: Обновление уязвимых пакетов до последних версий может исправить множество уязвимостей.
  • Удаление уязвимых пакетов: Если уязвимый пакет уже не нужен, его можно удалить в целях дополнительной безопасности.
  • Исправление уязвимостей в коде: Если уязвимость обнаруживается в коде приложения, исправление уязвимости может включать в себя изменение кода или добавление новых функций.
  • Временное отключение уязвимого компонента, установки патча или настройки других средств защиты.

Отчет в формате CSV

Чтобы добавить отчет в формате CSV в MS Excel:

  1. Скачайте отчет со страницы, нажав на кнопку Скачать отчет и далее Скачать CSV. В открывшимся модальном окне выберите необходимые неймспейсы и уровни критичности, которые должны быть в скаченном отчете.
  2. Создайте новый файл MS Excel, перейдите в раздел Данные.
  3. В левой части панели управления выберите Получение внешних данных, длаее Из текста, выберите файл отчета, который вы скачали, нажмите Импорт.
  4. В модальном окне Мастер текстов (импорт) выберите формат данных С разделителями нажмите Далее.
  5. Выберите вариант разделителя Запятая, нажмите Далее.
  6. Выберите формат данных столбцов Общий, нажмите Готово.

Настройка периода анализа образов контейнеров

Чтобы задать интервал перезапуска анализа уязвимостей образов контейнеров и срок хранения отчета, необходимо:

  1. Подготовить манифест объекта ShturvalServicePatch (PatchSSC) для применения к спецификации (ssc) Модуля сканирования образов контейнеров (shturval-scanner) с требуемыми параметрами в customvalues, как в приведенном примере ниже.
Пример ShturvalServicePatch 
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-scanner
  customvalues:
    operator:
      scanJobTTL: "<ваше значение параметра>"
      scannerReportTTL: "<ваше значение параметра>"
Параметр Описание Тип данных Пример
metadata.name Имя создаваемого PatchSSC string shturval-scanner-ttl
scanJobTTL Интервал перезапуска сканирования. По умолчанию 24 часа string 12h
scannerReportTTL Срок хранения отчетов перед удалением. По умолчанию 24 часа string 12h
  1. В графическом интерфейсе с помощью импорта манифеста загрузить в кластер ShturvalServicePatch:
  • Нажмите на иконку импорта манифестов, расположенную слева от имени пользователя. Загрузите файл с подготовленным манифестом ShturvalServicePatch для shturval-scanner или перетащите манифест в открывшееся окно. Выполните проверку и нажмите Загрузить.
Скриншот

manif

trivypatch1

  1. В кластере перейти в раздел Сервисы и репозитории на страницу Установленные сервисы, найти Модуль сканирования образов контейнеров (shturval-scanner) и перейти к управлению. На вкладке Примененные PatchSSC отобразится загруженный ShturvalServicePatch. Когда ShturvalServicePatch будет применен, на вкладке Сервис статус будет Patched.
Скриншот

patchadded

← Политики безопасности
Профиль Seccomp →
×