Определение пути до образов контейнеров

Для начала сканирования решению необходимо определить путь до образов контейнеров, которые требуется проверить. Путь до образов контейнеров может быть указан двумя способами:

• За названием реестра, репозитория и имени образа указывается тег образа. Тег представляет собой изменяемое легкочитаемое описание образа.

  Путь в этом случае выглядит следующим образом: <реестр>/<репозиторий>/<имя образа>:<тег>. Например, http://docker.io/library/nginx:1.20.1.

• За названием реестра, репозитория и имени образа указывается контрольная сумма образа. Контрольная сумма является неизменным внутренним свойством образа, а именно хешем его содержимого (используется хеш-алгоритм SHA256).

  При использовании контрольной суммы путь представляет собой следующее: <реестр>/<репозиторий>/<имя образа><контрольная сумма>. Например, http://docker.io/library/nginx@sha256:af9c...69ce.

Тег может соответствовать различным контрольным суммам, а контрольные суммы уникальны для каждого образа.

В зависимости от способа указания пути до образа перед началом сканирования Kaspersky Security для контейнеров осуществляет одно из следующих действий:

• Преобразовывает тег в доверенную контрольную сумму.
• Проверяет, является ли указанная в пути до образа контрольная сумма доверенной. Контрольная сумма считается доверенной, если обеспечена необходимая степень уверенности в поддержании требуемого режима безопасности в отношении кодируемого с помощью хеш-алгоритма объекта.

В среду выполнения контейнера передаются только доверенные контрольные суммы.

Перед запуском контейнера содержимое образа сравнивается с полученной контрольной суммой. Для признания контрольной суммы доверенной, а образа неискаженным Kaspersky Security для контейнеров проверяет целостность и подлинность подписи образа.