卡巴斯基容器安全

定义容器镜像的路径

要开始扫描，解决方案需要确定需要扫描的容器镜像的路径。容器镜像的路径可以通过两种方式指定：

• 在仓库名称、存储库名称和镜像名称后面指定镜像标签。标签是镜像的可更改且易于阅读的描述。

  在本例中，路径如下所示：<仓库>/<存储库>/<镜像名称>:<标签>。例如，http://docker.io/library/nginx:1.20.1。

• 在仓库名称、存储库和镜像名称后面指定镜像摘要。摘要是镜像的一个不可或缺的内部属性，具体来说，是其内容的哈希（使用 SHA256 哈希算法）。

  使用摘要时，路径的构成如下：<仓库>/<存储库>/<镜像名称><摘要>。例如，http://docker.io/library/nginx@sha256:af9c...69ce。

一个标签可以匹配不同的摘要，而每个镜像的摘要都是唯一的。

根据用于指定镜像路径的方法，卡巴斯基容器安全在扫描前执行以下操作之一：

• 将标签转换为可信摘要。
• 检查镜像路径中指定的摘要是否可信。对于使用哈希算法编码的对象，如果在维持所需保护时，摘要可确保所需的置信度，则该摘要被视为可信。

只有可信摘要会发送到容器运行时。

在运行容器之前，会将镜像的内容与收到的摘要进行比较。为了确认摘要为可信并且镜像未损坏，卡巴斯基容器安全会检查镜像签名的完整性和真实性。