Сканирование образов контейнеров

Модуль shturval-scanner (Trivy), отчёты, настройка интервала и хранения.

Введение

Сканирование образов контейнеров на уязвимости в платформе «Штурвал» выполняется модулем Модуль сканирования образов контейнеров (shturval-scanner) с помощью Trivy.

Результаты сканирования отображаются в кластере в разделе Безопасность на странице Анализ образов.


Где смотреть результаты

На странице Анализ образов доступна фильтрация результатов по неймспейсам. По умолчанию результаты отображаются по всем неймспейсам кластера.

Иллюстрация: Где смотреть результаты

Анализ образов

Отчёт можно скачать:

  • в формате CSV — полностью по всем неймспейсам, по одному неймспейсу или в соответствии с фильтрами, настроенными в таблице;
  • в формате PDF — только в разрезе одного неймспейса.

Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл.

В интерфейсе отображается отчёт одного сканирования; каждый новый отчёт заменяет предыдущий.

Сводная информация показывает количество уязвимостей по степени критичности с учётом выбранного неймспейса. Если в таблице настроены фильтры, сводное количество уязвимостей не обновляется по этим фильтрам.

Нажатие на строку уязвимости открывает боковую панель с дополнительной информацией (см. скриншот ниже).

Детальная информация об уязвимости


Классификация критичности (Trivy)

Рейтинг CVSS Уровень Описание
0–2.9 Low Могут быть отложены или компенсированы другими мерами.
3.0–6.9 Medium Потенциальное нарушение безопасности, требуется дополнительная защита.
7.0–8.9 High Возможна деградация или нарушение безопасности.
9.0–10.0 Critical Возможен полный контроль злоумышленника над системой.

В отчётах могут отображаться уязвимости с критичностью High и Critical, которые не применимы для образов контейнеров компонентов платформы «Штурвал». Такие уязвимости можно исключить из отчёта по инструкции по размеченным уязвимостям.


Отчёт в формате CSV

Чтобы добавить отчёт в формате CSV в MS Excel:

  1. На странице Анализ образов нажмите Скачать отчёт и выберите Скачать CSV.
  2. В открывшемся модальном окне выберите неймспейсы и уровни критичности, которые должны быть в отчёте.
  3. Создайте новый файл MS Excel и перейдите в раздел Данные.
  4. В левой части панели управления выберите Получение внешних данныхИз текста, выберите скачанный файл отчёта и нажмите Импорт.
  5. В окне Мастер текстов (импорт) выберите формат данных С разделителями и нажмите Далее.
  6. Выберите разделитель Запятая и нажмите Далее.
  7. Выберите формат данных столбцов Общий и нажмите Готово.

Настройка интервала сканирования и срока хранения отчётов

По умолчанию сканирование перезапускается каждые 24 часа, срок хранения отчёта перед удалением — 24 часа. Чтобы изменить интервал и срок хранения:

  1. Подготовьте манифест ShturvalServicePatch для применения к спецификации ssc модуля shturval-scanner с параметрами в customvalues.

    apiVersion: ops.shturval.tech/v1beta2
    kind: ShturvalServicePatch
    metadata:
      name: <имя ресурса>
    spec:
      shturvalServiceConfigName: shturval-scanner
      customvalues:
        operator:
          scanJobTTL: "<ваше значение параметра>"
          scannerReportTTL: "<ваше значение параметра>"
    
    Параметр Описание Тип данных Пример
    metadata.name Имя создаваемого ShturvalServicePatch string shturval-scanner-ttl
    operator.scanJobTTL Интервал перезапуска сканирования. По умолчанию — 24 часа. string 12h
    operator.scannerReportTTL Срок хранения отчётов перед удалением. По умолчанию — 24 часа. string 12h
  2. Загрузите манифест через импорт манифеста в интерфейсе кластера (иконка импорта → проверка → загрузка) (см. скриншот ниже).

    Импорт манифеста

    Загрузка ShturvalServicePatch

  3. Убедитесь, что патч отобразился в разделе Сервисы и репозиторииУстановленные сервисы → Модуль сканирования образов контейнеров → вкладка Примененные ShturvalServicePatch, статус сервиса — Patched (см. скриншот ниже).

    Применённый ShturvalServicePatch


Способы устранения уязвимостей

  • Обновление уязвимых пакетов до версий с исправлениями.
  • Удаление неиспользуемых уязвимых пакетов из образа.
  • Исправление уязвимостей в коде приложения.
  • Временное отключение уязвимого компонента, установка патча или настройка других средств защиты.