Модуль сканирования образов контейнеров (shturval-scanner)
О сервисе
| Параметр | Значение |
|---|---|
| Название в интерфейсе | Модуль сканирования образов контейнеров |
| Системное название (идентификатор) | shturval-scanner |
| Назначение в кластере | Сканирование образов контейнеров на уязвимости и несоответствия политикам безопасности. |
| Критический | Нет |
| Публичный репозиторий | Trivy |
| Зависимости | shturval-scanner-crds, shturval-networking |
| Неймспейс | trivy-system |
Назначение
shturval-scanner — модуль сканирования образов контейнеров на базе Trivy. Позволяет проверять образы на уязвимости (CVE) и на соответствие заданным политикам перед развёртыванием.
В кластере Trivy обеспечивает автоматизированное сканирование и формирование отчётности для обнаружения уязвимостей в образах контейнеров и в конфигурации кластера. Результаты доступны в разделах Сканирование образов контейнеров и Сканирование хостов и платформы.
Где настраивать
Сервисы и репозитории → Установленные сервисы → shturval-scanner → Управлять.
Если сервис отсутствует в списке установленных, установите чарт shturval-scanner через Сервисы и репозитории → Доступные чарты. После выбора версии чарта задайте необходимые параметры в блоке Спецификация сервиса как customvalues.
Перезапуск сканирования и хранение отчётов
По умолчанию сканирование перезапускается каждые 24 часа, период хранения отчёта перед удалением — 24 часа. Для изменения параметров примените ShturvalServicePatch:
Пример ShturvalServicePatch
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
name: <имя ресурса>
spec:
shturvalServiceConfigName: shturval-scanner
customvalues:
operator:
scanJobTTL: "<ваше значение>"
scannerReportTTL: "<ваше значение>"
| Параметр | Описание | Тип | Пример |
|---|---|---|---|
metadata.name |
Имя ShturvalServicePatch | string | shturval-scanner-ttl |
scanJobTTL |
Интервал перезапуска сканирования (по умолчанию 24 часа) | string | 12h |
scannerReportTTL |
Срок хранения отчётов перед удалением (по умолчанию 24 часа) | string | 12h |
Скриншот ShturvalServicePatch для интервала сканирования

ClusterComplianceReports
Отчёты ClusterComplianceReports формируются в общем или расширённом формате. В настройках по умолчанию задан reportType: all — при значении summary информация по отчётам не будет отображаться в графическом интерфейсе платформы.
По умолчанию сканирование выполняется раз в 6 часов. Для изменения расписания примените ShturvalServicePatch:
Пример ShturvalServicePatch
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
name: <имя ресурса>
spec:
shturvalServiceConfigName: shturval-scanner
customvalues:
compliance:
cron: <ваше значение>
| Параметр | Описание | Тип | Пример |
|---|---|---|---|
metadata.name |
Имя ShturvalServicePatch | string | shturval-scanner-cron |
compliance.cron |
Расписание сканирования в cron-формате (значения разделяются пробелами) | string | 0 7 * * * |
Скриншот ShturvalServicePatch для ClusterComplianceReports

Настройка сканирования из локального репозитория
При использовании реестра образов с сертификатом от непубличного удостоверяющего центра (корпоративный или самоподписанный) необходимо указать адрес реестра в настройках Trivy. Для этого примените ShturvalServicePatch:
Пример ShturvalServicePatch
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
name: <имя ресурса>
spec:
shturvalServiceConfigName: shturval-scanner
customvalues:
trivy:
insecureRegistries:
nameOfRegistry: <ваше значение>
| Параметр | Описание | Тип | Пример |
|---|---|---|---|
metadata.name |
Имя ShturvalServicePatch | string | shturval-scanner-localrepo |
nameOfRegistry |
DNS-имя локального реестра образов | string | registry.corp.domain |
Скриншот ShturvalServicePatch для локального репозитория

Как развернуть этот сервис — Как развернуть новый сервис.