Модуль сканирования образов контейнеров (shturval-scanner)

О сервисе

Параметр Значение
Название в интерфейсе Модуль сканирования образов контейнеров
Системное название (идентификатор) shturval-scanner
Назначение в кластере Сканирование образов контейнеров на уязвимости и несоответствия политикам безопасности.
Критический Нет
Публичный репозиторий Trivy
Зависимости shturval-scanner-crds, shturval-networking
Неймспейс trivy-system

Назначение

shturval-scanner — модуль сканирования образов контейнеров на базе Trivy. Позволяет проверять образы на уязвимости (CVE) и на соответствие заданным политикам перед развёртыванием.

В кластере Trivy обеспечивает автоматизированное сканирование и формирование отчётности для обнаружения уязвимостей в образах контейнеров и в конфигурации кластера. Результаты доступны в разделах Сканирование образов контейнеров и Сканирование хостов и платформы.

Где настраивать

Сервисы и репозиторииУстановленные сервисы → shturval-scanner → Управлять.

Если сервис отсутствует в списке установленных, установите чарт shturval-scanner через Сервисы и репозиторииДоступные чарты. После выбора версии чарта задайте необходимые параметры в блоке Спецификация сервиса как customvalues.

Перезапуск сканирования и хранение отчётов

По умолчанию сканирование перезапускается каждые 24 часа, период хранения отчёта перед удалением — 24 часа. Для изменения параметров примените ShturvalServicePatch:

Пример ShturvalServicePatch
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-scanner
  customvalues:
    operator:
      scanJobTTL: "<ваше значение>"
      scannerReportTTL: "<ваше значение>"
Параметр Описание Тип Пример
metadata.name Имя ShturvalServicePatch string shturval-scanner-ttl
scanJobTTL Интервал перезапуска сканирования (по умолчанию 24 часа) string 12h
scannerReportTTL Срок хранения отчётов перед удалением (по умолчанию 24 часа) string 12h
Скриншот ShturvalServicePatch для интервала сканирования

ShturvalServicePatch для scanJobTTL и scannerReportTTL

ClusterComplianceReports

Отчёты ClusterComplianceReports формируются в общем или расширённом формате. В настройках по умолчанию задан reportType: all — при значении summary информация по отчётам не будет отображаться в графическом интерфейсе платформы.

По умолчанию сканирование выполняется раз в 6 часов. Для изменения расписания примените ShturvalServicePatch:

Пример ShturvalServicePatch
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-scanner
  customvalues:
    compliance:
      cron: <ваше значение>
Параметр Описание Тип Пример
metadata.name Имя ShturvalServicePatch string shturval-scanner-cron
compliance.cron Расписание сканирования в cron-формате (значения разделяются пробелами) string 0 7 * * *
Скриншот ShturvalServicePatch для ClusterComplianceReports

ShturvalServicePatch для расписания ClusterComplianceReports

Настройка сканирования из локального репозитория

При использовании реестра образов с сертификатом от непубличного удостоверяющего центра (корпоративный или самоподписанный) необходимо указать адрес реестра в настройках Trivy. Для этого примените ShturvalServicePatch:

Пример ShturvalServicePatch
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-scanner
  customvalues:
    trivy:
      insecureRegistries:
        nameOfRegistry: <ваше значение>
Параметр Описание Тип Пример
metadata.name Имя ShturvalServicePatch string shturval-scanner-localrepo
nameOfRegistry DNS-имя локального реестра образов string registry.corp.domain
Скриншот ShturvalServicePatch для локального репозитория

ShturvalServicePatch для локального реестра образов


Как развернуть этот сервис — Как развернуть новый сервис.