Модуль сканирования образов контейнеров (Trivy)

В этом разделе можно настроить сканер уязвимостей Trivy.

Trivy - это инструмент сканирования уязвимостей для контейнерных образов и файловой системы, используемый при разработке и эксплуатации приложений на платформе Docker. Он служит для обнаружения уязвимостей в зависимостях и пакетах, используемых в контейнерах.

В кластере Trivy обеспечивает автоматизированный процесс сканирования и формирования отчетности для своевременного обнаружения возможных уязвимостей:

Для настройки сканера уязвимостей Trivy перейдите на страницу “Установленные сервисы” раздела “Сервисы и репозитории”, найдите “Модуль сканирования образов контейнеров” (shturval-scanner).

Если в кластере такой сервис отсутствует, перейдите на страницу “Доступные чарты” раздела “Сервисы и репозитории”. На вкладке “shturval” выберите чарт shturval-scanner и нажмите “Установить”.

Выберите необходимую версию чарта. После выбора версии чарта в правой части экрана отобразятся доступные “Параметры конфигурации для сервиса” (values). Пропишите в блоке “Спецификация сервиса” необходимые параметры в качестве customvalues.

Чтобы задать желаемый интервал для перезапуска сканирования, в блоке “Спецификация сервиса” укажите время для параметра scanJobTTL:

customvalues 
operator:
  scanJobTTL: "30m"
  scannerReportTTL: "1h"

По умолчанию сканирование перезапускается каждые 24 часа. Укажите в scanJobTTL желаемый интервал, например, “30m”. Также вы можете задать срок хранения отчетов, указав значение в параметре scannerReportTTL, по умолчанию 24 часа.

Отчеты ClusterComplianceReports могут быть сформированы в общем или расширенном формате. Чтобы информации о проверках была доступна в графическом интерфейсе платформы, в Trivy настроена детализация отчета: reportType:all. Если в reportType вы укажете summary, в графическом интерфейсе не будет отображаться информация по отчетам.

Для отчетов вида ClusterComplianceReports по умолчанию настроено сканирование раз в 6 часов. Чтобы изменить период сканирования, используйте параметр cron:

customvalues 
compliance:
  cron: 0 */6 * * *

Вместо cron: 0 */6 * * * укажите желаемый период сканирования в крон формате. Обратите внимание, между значениями должны быть пробелы.

Нажмите “Сохранить” для применения спецификации.

Для настройки сканирования образов из локального репозитория, в случае использования SSL сертификата, выпущенного непубличным УЦ например, корпоративным или самоподписным, необходимо указать следующие параметры:

customvalues 
trivy:
  insecureRegistries:
    nameOfRegistry: registry.corp.domain

Пример конфигурации для кластера, установленного из зеркала в закрытом контуре:

customvalues 
operator:
  scanJobTTL: "30m"
  scannerReportTTL: "1h"
trivy:
  dbRepository: stm-mirror.corp.domain:443/trivy-db
  dbRepositoryInsecure: true
  insecureRegistries:
    mainShturvalRegistry: r.shturval.tech
    mirrorShturvalRegistry: stm-mirror.corp.domain:443
    mirrorShturvalNexus: nexus.corp.domain
  registry:
    mirror:
      r.shturval.tech: stm-mirror.corp.domain:44

С дополнительной информацией можно ознакомиться на сайте Trivy и сайте Trivy Operator.

← Модуль анализа конфигураций приложений (Kyverno)
Модуль управления TLS-сертификатами (Cert Manager) →
×