База знаний
Войти

Анализ образов

В разделе "Безопасность кластера" на странице "Анализ образов" (рисунок 497) представлены результаты сканирования образов контейнеров на предмет уязвимости с помощью Trivy. На странице есть возможность:

  • Скачать отчет в формате CSV полностью по всем неймспейсам, одному неймспейсу или в соответствии с настроенными фильтрами в таблице. В формате PDF доступно скачивание отчета только в разрезе одного неймспейса.
  • Доступна фильтрация по неймспейсам. По умолчанию результаты сканирования отображаются по всем неймспейсам кластера.

Рисунок 497 ‒ Страница "Анализ образов"

В графическом интерфейсе отображается только отчет одного сканирования. Каждый новый отчет заменяет предыдущий. Сводная информация отображает количество уязвимостей по степени критичности с учетом выбора неймспейса из списка. Когда настроены фильтры в таблице, данные по их количеству не обновляются.

Классификация уязвимостей по степени критичности в Trivy (рисунок 498):

  • 0-2.9 ‒ Низкая критичность (Low). Уязвимости с таким рейтингом могут быть отложены на неопределенный срок или защищены другими методами, такими как файрволы, контроллеры целостности и т. д.
  • 3.0-6.9 ‒ Средняя критичность(Medium). Уязвимости с таким рейтингом могут привести к потенциальному нарушению безопасности системы и дополнительной защите.
  • 7.0-8.9 ‒ Высокая критичность (High). Уязвимости с этим рейтингом могут привести к деградации системной производительности и/или безусловного нарушения безопасности системы.
  • 9.0-10.0 ‒ Критическая критичность (Critical). Уязвимости с этим рейтингом могут привести к полному контролю злоумышленника над системой.

Рисунок 498 ‒ Критичность

В отчетах по уязвимости могут отображаться уязвимости с критичностью High и Critical, которые не применимы для образов контейнеров компонентов в Комплексе. Чтобы исключить такие уязвимости из отчета, нужно выполнить шаги инструкции "Как исключить размеченные уязвимости из отчетов (VulnerabilityReports)".

Нажатие на строку уязвимости открывает боковое окно с дополнительной информацией.

Способы устранения уязвимостей

  • Обновление уязвимых пакетов: Обновление уязвимых пакетов до последних версий может исправить множество уязвимостей.
  • Удаление уязвимых пакетов: Если уязвимый пакет уже не нужен, его можно удалить в целях дополнительной безопасности.
  • Исправление уязвимостей в коде: Если уязвимость обнаруживается в коде приложения, исправление уязвимости может включать в себя изменение кода или добавление новых функций.
  • Временное отключение уязвимого компонента, установки патча или настройки других средств защиты.

Отчет в формате CSV

Чтобы добавить отчет в формате CSV в MS Excel, нужно:

  1. скачать отчет со страницы, нажав на кнопку Скачать отчет и далее Скачать CSV. В открывшимся диалоговом окне выбрать необходимые неймспейсы и уровни критичности, которые должны быть в скачанном отчете;
  2. создать новый файл MS Excel, перейти в раздел "Данные";
  3. в левой части панели управления выбрать "Получение внешних данных", далее выбрать "Из текста", выбрать файл отчета, который был скачан, нажать Импорт;
  4. в диалоговом окне "Мастер текстов (импорт)" выбрать формат данных "С разделителями", нажать Далее;
  5. выбрать вариант разделителя "Запятая", нажать Далее;
  6. выбрать формат данных столбцов "Общий", нажать Готово.

Настройка периода анализа образов контейнеров

Чтобы задать период запуска анализа уязвимостей образов контейнеров, нужно подготовить манифест объекта ShturvalServicePatch (PatchSSC) для применения к спецификации (SSC) Модуля сканирования образов контейнеров (shturval-scanner) с требуемыми параметрами в customvalues (параметры описаны в таблице 72):

apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
name: <имя ресурса>
spec:
shturvalServiceConfigName: shturval-scanner
customvalues:
operator:
scanJobTTL: "<ваше значение параметра>"
scannerReportTTL: "<ваше значение параметра>"

Затем в графическом интерфейсе нужно с помощью импорта манифеста загрузить в кластер ShturvalServicePatch, нажав на иконку импорта манифестов, расположенную слева от имени пользователя, загрузить файл с подготовленным манифестом ShturvalServicePatch для shturval-scanner или переместиь манифест в открывшееся окно, выполнить проверку и нажать Загрузить.

Далее в кластере необходимо перейти в раздел "Сервисы и репозитории" на страницу "Установленные сервисы", найти Модуль сканирования образов контейнеров (shturval-scanner) и перейти к управлению. На вкладке "Примененные PatchSSC" отобразится загруженный ShturvalServicePatch. Когда ShturvalServicePatch будет применен, на вкладке "Сервис" статус будет Patched.