Cканирование Java-пакетов в образах
Kaspersky Security для контейнеров предоставляет возможность сканировать Java-пакеты в составе образов в реестрах. Для этого решение использует базы данных уязвимостей Java-пакетов.
Сканирование Java-пакетов доступно в версии Kaspersky Security для контейнеров v1.2.1 и выше. Если у вас установлена более ранняя версия, для реализации этой функциональной возможности требуется обновить решение до версии v1.2.1.
Вы можете настроить сканирование Java-пакетов с помощью переменной окружения ENABLE_JAVA_VULN в файле values.yaml. Если ENABLE_JAVA_VULN = true, решение осуществляет сканирование с использованием баз данных уязвимостей Java-пакетов. Если ENABLE_JAVA_VULN = false, сканирование Java-пакетов не проводится.
По умолчанию для ENABLE_JAVA_VULN установлено значение false.
Компонент kcs-updates, начиная с версии v1.2.1, в комплекте поставки содержит базы данных уязвимостей Java-пакетов. При использовании этого компонента достаточно убедиться, что переменные окружения в файле values.yaml заданы следующим образом:
ENABLE_JAVA_VULN = trueKCS_UPDATES_TAG=vХ.Х.Х (значение переменной версии указывается в соответствии с версией установленного решения)KCS_UPDATES=true
Если возможность сканирования Java-пакетов активирована (ENABLE_JAVA_VULN = true), компонент решения kcs-scanner загружает базы данных уязвимостей Java-пакетов и уведомляет об этом компоненты kcs-middleware и kcs-ih. После этого компонент kcs-ih получает от kcs-scanner файлы базы данных, осуществляет ее сборку и валидацию, а затем применяет в процессе сканирования.
Уязвимости, найденные по базе данных уязвимостей Java-пакетов, отображаются в результатах сканирования образов из реестров.
Kaspersky Security для контейнеров может также осуществлять сканирование Java-пакетов в образах во внешних реестрах и в процессе CI/CD с использованием внешнего сканера. При этом необходимо использовать сборку сканера с тегом vХ.Х.Х-with-db-java, которая содержит в себе предустановленную базу данных по уязвимостям Java. Настройка и использование указанной сборки осуществляются аналогично сборке vХ.Х.Х-with-db.