Сканирование образов контейнеров
Модуль shturval-scanner (Trivy), отчёты, настройка интервала и хранения.
Введение
Сканирование образов контейнеров на уязвимости в платформе «Штурвал» выполняется модулем Модуль сканирования образов контейнеров (shturval-scanner) с помощью Trivy.
Результаты сканирования отображаются в кластере в разделе Безопасность на странице Анализ образов.
Где смотреть результаты
На странице Анализ образов доступна фильтрация результатов по неймспейсам. По умолчанию результаты отображаются по всем неймспейсам кластера.
Иллюстрация: Где смотреть результаты

Отчёт можно скачать:
- в формате CSV — полностью по всем неймспейсам, по одному неймспейсу или в соответствии с фильтрами, настроенными в таблице;
- в формате PDF — только в разрезе одного неймспейса.
Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл.
В интерфейсе отображается отчёт одного сканирования; каждый новый отчёт заменяет предыдущий.
Сводная информация показывает количество уязвимостей по степени критичности с учётом выбранного неймспейса. Если в таблице настроены фильтры, сводное количество уязвимостей не обновляется по этим фильтрам.
Нажатие на строку уязвимости открывает боковую панель с дополнительной информацией (см. скриншот ниже).

Классификация критичности (Trivy)
| Рейтинг CVSS | Уровень | Описание |
|---|---|---|
| 0–2.9 | Low | Могут быть отложены или компенсированы другими мерами. |
| 3.0–6.9 | Medium | Потенциальное нарушение безопасности, требуется дополнительная защита. |
| 7.0–8.9 | High | Возможна деградация или нарушение безопасности. |
| 9.0–10.0 | Critical | Возможен полный контроль злоумышленника над системой. |
В отчётах могут отображаться уязвимости с критичностью High и Critical, которые не применимы для образов контейнеров компонентов платформы «Штурвал». Такие уязвимости можно исключить из отчёта по инструкции по размеченным уязвимостям.
Отчёт в формате CSV
Чтобы добавить отчёт в формате CSV в MS Excel:
- На странице Анализ образов нажмите Скачать отчёт и выберите Скачать CSV.
- В открывшемся модальном окне выберите неймспейсы и уровни критичности, которые должны быть в отчёте.
- Создайте новый файл MS Excel и перейдите в раздел Данные.
- В левой части панели управления выберите Получение внешних данных → Из текста, выберите скачанный файл отчёта и нажмите Импорт.
- В окне Мастер текстов (импорт) выберите формат данных С разделителями и нажмите Далее.
- Выберите разделитель Запятая и нажмите Далее.
- Выберите формат данных столбцов Общий и нажмите Готово.
Настройка интервала сканирования и срока хранения отчётов
По умолчанию сканирование перезапускается каждые 24 часа, срок хранения отчёта перед удалением — 24 часа. Чтобы изменить интервал и срок хранения:
-
Подготовьте манифест ShturvalServicePatch для применения к спецификации
sscмодуляshturval-scannerс параметрами вcustomvalues.apiVersion: ops.shturval.tech/v1beta2 kind: ShturvalServicePatch metadata: name: <имя ресурса> spec: shturvalServiceConfigName: shturval-scanner customvalues: operator: scanJobTTL: "<ваше значение параметра>" scannerReportTTL: "<ваше значение параметра>"Параметр Описание Тип данных Пример metadata.nameИмя создаваемого ShturvalServicePatchstringshturval-scanner-ttloperator.scanJobTTLИнтервал перезапуска сканирования. По умолчанию — 24 часа. string12hoperator.scannerReportTTLСрок хранения отчётов перед удалением. По умолчанию — 24 часа. string12h -
Загрузите манифест через импорт манифеста в интерфейсе кластера (иконка импорта → проверка → загрузка) (см. скриншот ниже).


-
Убедитесь, что патч отобразился в разделе Сервисы и репозитории → Установленные сервисы → Модуль сканирования образов контейнеров → вкладка Примененные ShturvalServicePatch, статус сервиса — Patched (см. скриншот ниже).

Способы устранения уязвимостей
- Обновление уязвимых пакетов до версий с исправлениями.
- Удаление неиспользуемых уязвимых пакетов из образа.
- Исправление уязвимостей в коде приложения.
- Временное отключение уязвимого компонента, установка патча или настройка других средств защиты.