租户端 安全 容器安全(TCSS) 最佳实践

镜像漏洞扫描和漏洞管理

最近更新时间: 2026-03-13 09:03:00

镜像安全是容器稳定运行的必备条件,当镜像存在安全风险时,风险镜像运行的容器随时可能遭受攻击、影响线上运行业务稳定性。因此在业务上线之前,需对即将应用到的镜像进行安全风险评估,确认无风险后再投入使用。

镜像安全风险主要涉及漏洞、木马和敏感信息泄漏,其中涉及到的镜像漏洞及漏洞管理问题尤其重要。在对镜像漏洞进行扫描和管理时,主要分为两个阶段进行管理:上线前、上线后。

  • 上线前:镜像存储在仓库,客户需要对仓库镜像的安全性进行保障。
  • 上线后:拉取到云服务器的镜像称为本地镜像,业务方需及时评估最新漏洞、应急漏洞等是否影响到运行业务的镜像。

仓库存储阶段

镜像上线之前,客户将打包或下载好的镜像存储在仓库,入仓时需对新入仓的镜像进行整体安全评估,如存在安全问题,建议修复后再入仓管理

拉取仓库镜像

容器安全服务支持的仓库类型Harbor 镜像。

  • 当有新镜像入仓时,在仓库镜像页面,单页右上角的同步资产即可更新资产。
  • 当客户镜像存储在 Harbor 仓库时,客户需手动接入仓库再拉取镜像资产。在仓库镜像页面,单页右上角的镜像仓管理 > 添加镜像仓,按要求验证仓库基本信息、连接地址等即可。

扫描与查看仓库镜像漏洞

仓库镜像页面,勾选自动授权并扫描此仓库内最新版本的镜像,并下发一次安全扫描。镜像同步速度约为20个/秒,预计同步需20~30分钟,同步完成后发起扫描。扫描完成,进入漏洞管理页面查看扫描出的漏洞。
如需查看全部漏洞,依次单击系统漏洞应用漏洞,导出所有漏洞列表,在列表中查看影响仓库镜像的漏洞即可。一般情况下,镜像扫描的漏洞数据较多,全部修复工作量较大,建议区分优先级依次修复,例如:按应急漏洞,按具有 EXP、POC、远程利用、在野利用标签等。

  • POC(Proof of Concept):可通过一段描述或样例来证明漏洞确实存在。
  • EXP(Exploit):一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。
  • 远程利用漏洞:指攻击者可以直接通过网络发起攻击并利用的软件漏洞。例如这类软件漏洞中的 RCE(远程代码执行)漏洞危害极大,攻击者能随心所欲地通过此漏洞对远端计算机进行远程控制,此类漏洞也是蠕虫病毒主要利用的漏洞。
  • 本地利用漏洞:指攻击者必须在本机具有访问权限的前提下才能攻击并利用的软件漏洞。比较典型的是没有网络服务功能的本地软件漏洞,以及本地权限提升漏洞。例如本地提权漏洞能让普通用户获得最高管理员权限甚至系统内核的权限。
  • 在野利用:该类漏洞存在在野利用或云平台上存在在野攻击(数据来源:we-detect 和 cisa)。

按应急漏洞

建议优先修复应急漏洞。对所有应急漏洞进行扫描之后,扫描完成单击导出图标,在列表中查看影响仓库镜像的漏洞,对存在应急漏洞的仓库镜像进行修复。

按具有 EXP、POC、远程利用、在野利用等标签

应急漏洞修复完成后,客户可优先挑选具有 EXP、POC、远程利用、在野利用等标签的系统漏洞和应用漏洞进行修复。对风险标签进行筛选,单击导出图标,选择仅导出筛选结果,在列表中查看影响仓库镜像的漏洞,对存在这些标签的仓库镜像进行修复。

除了上述标签,客户在筛选仓库镜像漏洞时,也可利用“仅展示影响最新版本的镜像”、“威胁等级”、“CVSS”评分等条件进行综合筛选。

本地应用阶段

镜像安全风险问题在仓库存储阶段得到监控和修复后,在本地应用阶段则仅需关注新增漏洞的问题。本地镜像如存在严重的漏洞问题,可能直接影响线上业务。

扫描本地镜像

容器安全服务会在每天的资产自动更新时,默认更新云服务器上存在的镜像,无需客户手动拉取。具备足够镜像扫描次数配额即可在本地镜像页面执行扫描。

  1. 本地镜像页面,单击一键扫描,在右侧弹出的本地镜像-一键扫描设置面板中进行配置:
  2. 扫描设置:选择风险类型(安全漏洞、敏感信息、木马病毒),并设置超时时间(若单次扫描时长超过设定时间则视为失败)。
  3. 扫描镜像范围:推荐扫描镜像、全部镜像或自选镜像。
  4. 查看面板底部显示的本次扫描将消耗的镜像扫描次数,确认无误后单击立即扫描

    说明:

    • 本地镜像页面上方会显示当前已用镜像扫描次数/总配额,如配额不足可进行扩容。
    • 扫描即扣"镜像扫描次数",针对相同镜像重复扫描将重复扣除次数。
    • 开始扫描后,所选择的所有镜像的相同ID的镜像将同时进行扫描。

查看本地镜像漏洞

扫描漏洞任务完成后,进入漏洞管理页面查看扫描出的漏洞。
如需查看全部漏洞,依次单击系统漏洞应用漏洞,导出所有漏洞列表,在列表中查看影响本地镜像的漏洞即可。一般情况下,镜像扫描的漏洞数据较多,全部修复工作量较大,建议区分优先级依次修复,例如:按应急漏洞,按具有 EXP、POC、远程利用、在野利用标签等。

按应急漏洞

建议优先修复应急漏洞。对所有应急漏洞进行扫描之后,扫描完成单击导出图标,在列表中查看影响本地镜像的漏洞,对存在应急漏洞的本地镜像进行修复。

按具有 EXP、POC、远程利用、在野利用等标签

应急漏洞修复完成后,客户可优先挑选具有 EXP、POC、远程利用、在野利用等标签的系统漏洞和应用漏洞进行修复。对风险标签进行筛选,单击导出图标,选择仅导出筛选结果,在列表中查看影响本地镜像的漏洞,对存在这些标签的本地镜像进行修复。

除了上述标签,客户在筛选本地镜像漏洞时,如只需查看运行容器的本地镜像漏洞时,可打开“仅展示影响容器的漏洞”开关,或在导出的漏洞列表中筛选关联容器大于0的镜像。同时也可以利用“威胁等级”、“CVSS”评分等条件进行综合筛选。