使用 Pipeline 扫描安全漏洞

mitaparvin

组件和服务的复杂性，以透明、易于理解的方式向用户公开这些内容。 这项努力促使我们向Banzai Cloud Pipeline平台引入集成服务。我们已经写过什么是集成服务，并且还描述了其中的一些服务，例如Kubernetes 集群的自动化公共 DNS 管理和集群过期。 Banzai Cloud Pipeline 是一个面向解决方案的应用程序平台，允许企业在多云和混合云环境中开发、部署和安全地扩展基于容器的应用程序。您可以轻松地在您最喜欢的云提供商上启动集群并尝试该平台提供的功能。 集成服务是平台上可用的组件，它们预先配置了工作默认值，为操作集群提供基本功能（例如日志记录、监控、安全扫描、秘密管理、DNS、入口和备份）。 这篇文章介绍了安全扫描集成服务。 tl;dr： 您只需为集群启用安全扫描集成服务，并使用自动预部署或任意按需映像漏洞扫描。 我们的许多客户来自各个领域，他们需要遵守有关安全审计和定期安全升级的严格规则和规定。安全扫描集成服务通过自动化其中一些流程来帮助他们。

什么是安全扫描综合服务 该服务扫描构成应用程序的容器映像是否存在可能的安全问题，并根据扫描结果允许或拒绝部署应用程序。它通过参与部署在Pipeline控制平面（Anchore）上的服务并使用所需的安全策略配置 Webhook 来实现这一点。启用该服务后，您还可以触发单独的图像扫描来检查漏洞。 您可以在我们的容器漏洞扫描和使用 Anchore 进行图像验证文章中找到有关安全扫描机制的更多详细信息。 锚定接受 启用安全扫描集成服务 与大多数集 电话号码列表 成服务类似，您可以从 Banzai Cloud Pipeline Web 界面和Banzai Cloud CLI工具启用安全扫描集成服务。登录到您的 Pipeline Web 界面。如果您没有安装 Pipeline 平台，您可以在我们的免费开发者预览安装上注册并在那里创建集群。 导航至Cluster Management，然后导航至您要配置的集群。将打开一个侧边栏。 在侧边栏中，单击“安全扫描”。 如果您已经安装了要使用的 Anchore 引擎，请选择使用外部 Anchore 引擎并指定用于访问该引擎的 URL 和密钥。






在“设置”>“策略”字段中选择要使用的安全策略。 允许所有并警告捆绑：此策略是最宽松的。人们可以部署任何东西，但它会收到有关所有已部署映像的反馈。 拒绝关键捆绑包：拒绝包含具有关键 CVSS 严重等级的漏洞的映像。 拒绝高捆绑包：拒绝包含高 CVSS 严重等级漏洞的映像。 阻止 root 捆绑包：防止部署包含以 root 权限运行的应用程序的映像。 拒绝所有图像：拒绝所有图像，白名单明确允许的图像除外。 指定应扫描哪些名称空间。默认情况下，扫描策略适用于每个命名空间（无法扫描的 和命名空间除外）。 kubesystem  pipeline-system 要指定要扫描的命名空间列表，请选择Webhook 设置 > 类型 > 包括，然后从命名空间字段中选择要扫描的命名空间。 要指定从扫描中排除的命名空间列表，并扫描所有其他命名空间，请选择Webhook 设置 > 类型 > 排除，然后从命名空间字段中选择不应扫描的命名空间。