扫描镜像中的 Java 软件包
卡巴斯基容器安全可以扫描注册表镜像中包含的 Java 软件包。为此,该解决方案使用 Java 漏洞数据库。
可以用卡巴斯基容器安全 v1.2.1 及更高版本扫描 Java 软件包。如果您安装了早期版本,则必须将解决方案更新到 v1.2.1. 才能使用此功能。
您可以通过设置 values.yaml 文件中ENABLE_JAVA_VULN环境变量的值来配置 Java 软件包的扫描。如果ENABLE_JAVA_VULN = true,卡巴斯基容器安全将使用 Java 漏洞数据库执行扫描。如果ENABLE_JAVA_VULN = false,则不会扫描 Java 软件包。
默认情况下,ENABLE_JAVA_VULN被设置为false。
从版本 v1.2.1 开始,分发套件中提供的 kcs-updates 组件包含 Java 漏洞数据库。使用此组件时,您应该确保 values.yaml 文件中的环境变量定义如下:
ENABLE_JAVA_VULN = trueKCS_UPDATES_TAG=vХ.Х.Х (版本变量值根据解决方案的版本指定)KCS_UPDATES=true
如果 Java 软件包扫描被激活(ENABLE_JAVA_VULN = true),kcs-scanner 解决方案组件将下载 Java 漏洞数据库并相应地通知 kcs-middleware 和 kcs-ih 组件。然后,kcs-ih 组件从kcs-scanner 接收数据库文件,组装并验证数据库,并在扫描期间使用它。
使用 Java 漏洞数据库发现的漏洞显示在镜像扫描结果中。
卡巴斯基容器安全还可以在使用外部扫描器时在 CI/CD 过程中扫描外部注册表中的镜像中的 Java 软件包。在这种情况下,您必须使用带有 vХ.Х.Х-with-db-java 标签的扫描器,其中包含预安装的 Java 漏洞数据库。所指定扫描器的配置和使用与 vХ.Х.Х-with-db 扫描器类似。