tencent cloud

文档反馈

高危镜像部署阻断

最后更新时间:2024-12-02 14:49:53

    操作场景

    腾讯云容器镜像服务(Tencent Container Registry,TCR)企业版支持对托管的容器镜像进行安全扫描,生成扫描报告,暴露容器镜像内潜在的安全漏洞,并提供修复建议。容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。
    镜像部署阻断功能内置在命名空间层级,可选择开启该功能,并配置阻断规则及可忽略的镜像漏洞。开启该功能后,如容器客户端尝试拉取符合阻断策略的容器镜像,将被阻断,并返回相关报错说明。

    前提条件

    在使用镜像部署阻断功能前,您需要完成以下准备工作:
    如果使用子账号进行操作,请参考 企业版授权方案示例 提前为子账号授予对应实例的操作权限。

    操作步骤

    配置阻断策略

    1. 登录 容器镜像服务 控制台,选择左侧导航栏中的命名空间
    2. 在“命名空间”页面中,单击需配置阻断策略的实例名称,进入命名空间详情页。
    3. 在“部署安全”页,将启动阻断配置为已开启,并配置需要阻断的漏洞等级。

    配置漏洞白名单

    已开启部署阻断后,可配置漏洞白名单,输入一条或多条 CVE ID,并用英文逗号分隔。如果镜像安全扫描结果中包含该漏洞 ID,将被阻断策略忽略。即如果该镜像内有一高危漏洞,但高危漏洞已被配置为白名单,则即便已配置阻断具有高危漏洞的镜像拉取,该镜像仍可正常拉取。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持