Registry-Scan-Konfiguration
Für den Registry-Scan ist es erforderlich, dass der SUSE® Security Allinone- oder Controller-Container auf einem Host/Knoten bereitgestellt wird. Bitte siehe den Abschnitt Installation/Bereitstellung für Informationen zur Bereitstellung der SUSE® Security Container. Konfigurieren Sie den Registry-Scan über die SUSE® Security Konsole, nachdem Sie sich beim Manager angemeldet haben.
Stellen Sie außerdem sicher, dass ein SUSE® Security Scanner-Container bereitgestellt und konfiguriert ist, um sich mit dem Allinone oder Controller zu verbinden. In Version 4.0 und später muss der neuvector/scanner Container getrennt vom Allinone oder Controller bereitgestellt werden.
|
Der Registry-Image-Scan wird vom Scanner durchgeführt, und das Image wird in den Arbeitsspeicher geladen und entpackt. Wenn mit entpackten Image-Größen von mehr als 500 MB gerechnet wird, ziehe in Betracht, den Speicher des Scanners auf 1,5 GB oder mehr zu erhöhen, um Kapazität und Spielraum für den Scanner bereitzustellen. |
Um die Leistung und Skalierbarkeit des Registry-Scans zu erhöhen, können mehrere Scanner-Pods auf verschiedenen Knoten bereitgestellt werden, um die Scan-Aufgaben auf mehrere Scanner zu verteilen. Siehe den Abschnitt Mehrere parallele Scanner für weitere Details.
Für Multi-Cluster (federierte) Umgebungen kann der primäre (Master-)Cluster ein Registry/Repo scannen, das als föderierte Registry bezeichnet ist. Die Scan-Ergebnisse dieser Registries werden mit allen verwalteten (remote) Clustern synchronisiert. Dies ermöglicht die Anzeige der Scan-Ergebnisse in der Konsole des verwalteten Clusters sowie die Verwendung der Ergebnisse in Zulassungssteuerungsregeln des verwalteten Clusters. Registries müssen nur einmal gescannt werden, anstatt von jedem Cluster, was die CPU-/Speicher- und Netzwerkbandbreitennutzung reduziert. Siehe den Abschnitt Multi-Cluster für weitere Details.
Registry-Scan konfigurieren
Um Registries und Repositories für den Scan zu konfigurieren, gehen Sie zum Menü Assets → Registries in der SUSE® Security Konsole. Fügen Sie Registries hinzu oder bearbeiten Sie diese, um sie zu scannen. Verwenden Sie den Filter, um Repositories oder Teilmengen von Bildern zu definieren, die gescannt werden sollen. Wenn Ihre Registry den Zugriff über einen Proxy erfordert, kann dies in den Einstellungen → Konfiguration konfiguriert werden.
Die Registry wird gemäß einem Zeitplan gescannt, der konfigurierbar ist. Standardmäßig werden nur neue oder aktualisierte Bilder gescannt. Wenn Sie alle anwendbaren Bilder erneut scannen möchten, wann immer die CVE-Datenbank aktualisiert wird, wählen Sie die Schaltfläche 'Nach CVE-DB-Aktualisierung erneut scannen' aus, wenn Sie die Registry konfigurieren. Sie können auch den Schichtscan auswählen, um Schwachstellen nach jeder Schicht im Bild anzuzeigen (Hinweis: Schichtscans können länger dauern und mehr Ressourcen verbrauchen).
Nachdem der Scan abgeschlossen ist, sehen Sie die Ergebnisse darunter. Klicken Sie auf das Repository/Tag, um Schwachstellen zu sehen, und klicken Sie auf die Schwachstelle, um weitere Informationen zu erhalten. Sie können auch den Bericht in einer CSV-Datei herunterladen oder die Ergebnisse in den Ereignisprotokollen anzeigen.
NeuVector bietet eine "Alle gescannten Bilder anzeigen" Option an. Benutzer müssen nicht in eine Registry schauen, um ein bestimmtes Bild zu sehen. Stattdessen können Benutzer auf die letzte Zeile klicken, um alle gescannten Bilder aufzulisten.
Benutzer können auch auf die Seite Registries gelangen und spezifische Bilder über den Hyperlink von der Seite Containers öffnen. Wenn der Bildname nicht anklickbar ist, bedeutet dies, dass das Bild noch nicht gescannt wurde.
Die Scanergebnisse enthalten Schwachstellen nach Bildschicht, wenn diese Option während der Registrierung/Repository-Konfiguration ausgewählt wurde, sowie die Ergebnisse der Compliance-Prüfungen. Klicken Sie auf die Compliance-Registerkarte, wenn Sie die Scanergebnisse für das Bild anzeigen, um die Compliance-Prüfungen zu sehen.
Das Scannen wird auch alle Module (d.h. ein Inventar) im Bild entdecken und auflisten, wie unten gezeigt. Es wird auch das Risiko von Schwachstellen nach Modul zusammenfassen und alle Schwachstellen für jedes Modul auflisten.
Das Scannen wird für Bilder in öffentlichen und privaten Docker-Registries unterstützt, die auf Native Docker, Amazon ECR, Redhat/Openshift, jFrog, Microsoft ACR, Sonatype Nexus, Harbor, Google Cloud und anderen Registries basieren. Der Scanbericht für das Bild umfasst den Schwachstellenstatus verschiedener Pakete und Binärdateien im Bild. Die kurze Zusammenfassung des Scanberichts kann über Webhook mithilfe der Konfiguration der Antwortregel in Richtlinie → Antwortregeln oder über Syslog durch Konfiguration eines Syslog-Servers in Einstellungen → Konfiguration gesendet werden. Die Ergebnisse können auch in den Ereignisprotokollen angezeigt werden.
Mindestens ein Repository-Filter ist erforderlich (darf nicht leer gelassen werden).
Beispiele für Repository-Filter
|
Registry-Scan-Optionen
-
Schichten scannen:
-
Bietet das Ergebnis des Schwachstellenscans für jede Bildschicht separat
-
Bietet Informationen über ausgeführte Befehle, in der Schicht hinzugefügte Pakete
-
Bildgröße jeder Schicht
-
-
Auto-Scan:
-
Auto-Scan wird nur mit der OpenShift-Imagestream-Integration unterstützt. Die richtige Rollenbindung sollte im Voraus konfiguriert werden.
-
Wenn Auto-Scan aktiviert ist, wird der Bildscan geplant, sobald ein Bild in die Registry hochgeladen wird.
-
-
Periodischer Scan:
-
Aktivieren Sie den periodischen Scan, um regelmäßig zu scannen.
-
Das Scan-Intervall kann zwischen 5 Minuten und 7 Tagen eingestellt werden.
-
Da viele Admission-Control-Prüfungen auf dem Ergebnis des Bildscans basieren, hilft die Aktivierung des periodischen Scans sicherzustellen, dass die Admission-Control über die aktuellen Informationen der Bilder verfügt.
-
Bitte beachten Sie, dass SUSE® Security Bilder in einer Registry scannt, die neu oder geändert sind im Vergleich zum vorherigen Scan.
-
-
Erneuter Scan nach Aktualisierung der CVE-Datenbank
-
Aktivieren Sie diese Option, um alle Bilder nach der Aktualisierung der Schwachstellendatenbank erneut zu scannen.
-
Proxy-Server für das Registry konfigurieren
Bitte gehen Sie zu Einstellungen → Konfiguration, um die Proxy-Einstellungen für das Registry-Scanning zu konfigurieren.
Native Docker-Registry (auch Quay und Harbor)
Native Docker-Registry hinzufügen
-
Wählen Sie Docker-Registry als Typ aus
-
Geben Sie der Registry einen eindeutigen Namen
-
Geben Sie die Registry-URL mit Port an
-
Geben Sie Benutzernamen und Passwort an, falls dies von der Registry erforderlich ist
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Repository kann Wildcards mit einem Anfangsstring haben
-
Beispiel neuvector/all*:2*
-
Hinzufügen einer privaten Docker-Registry mit Benutzername/Passwort, Scannen der Schichten aktiviert, periodisches Scannen alle 30 Minuten aktiviert und * als Filter, um alle Tags aus allen Repositories zu scannen.
Hinzufügen einer öffentlichen Docker-Registry zum Scannen ohne Benutzername/Passwort und 2 Repositories mit Wildcard, Scannen der Schichten aktiviert und periodisches Scannen aktiviert.
Hinzufügen einer öffentlichen Docker-Registry zum Scannen mit Benutzername/Passwort, Wildcard-Repository, Scannen der Schichten aktiviert und periodisches Scannen aktiviert.
|
Quay-Registry
|
Beginnen Sie mit dem Scannen der Docker-Registry
-
Wählen Sie die zu scannende Registry aus
-
Klicken Sie auf die Schaltfläche Start, um zu scannen
-
Warten Sie, bis der Status von Scannen auf Leerlauf wechselt
-
Die Scan-Zeit variiert je nach Größe des Repositories
-
Zeigen Sie das Scan-Ergebnis an
-
Klicken Sie auf ein Bild im Bildbereich, um das Scan-Ergebnis für das Bild anzuzeigen.
-
Greifen Sie auf das Scan-Ergebnis zu, um den Sicherheitsstatus des Bildes zu finden.
-
Klicken Sie auf die Schaltfläche "Herunterladen", um das Scan-Ergebnis des Bildes bei Bedarf herunterzuladen.
-
Bewegen Sie die Maus zwischen den CVE-Details und den Bildern, um zur Zusammenfassung zurückzukehren.
Zeigt die gescannten Bilder des ausgewählten Registry an.
Beispiel, das das Schicht-Scan-Ergebnis eines Bildes zeigt, das die Schwachstellen jeder Schicht, die Schichtgröße und die auf jeder Schicht ausgeführten Befehle anzeigt. Darüber hinaus gibt es einen Compliance-Tab, der die Ergebnisse der Compliance-Tests für das Bild anzeigt.
Amazon ECR-Registry
Fügen Sie das Amazon ECR Registry hinzu.
-
Wählen Sie Amazon Registry als Typ aus.
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Die Registry-URL wird automatisch mit anderen Informationen gefunden.
-
Geben Sie die folgenden Informationen zur Registry an. Verweisen Sie auf den obigen Amazon-Link, um die folgenden Informationen zu erhalten
-
Registry-ID
-
Region
-
Zugriffsschlüssel-ID
-
Geheimer Zugriffsschlüssel
-
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Repository kann Wildcards mit einem Anfangsstring haben
-
Beispiel neuvector/all*:2*
-
Die Organisation kann leer sein, wenn ein solches Bild im Registry verfügbar ist.
-
*, um alle Bild-Tags zu scannen
-
Red Hat-Registry
Fügen Sie das Red Hat Registry hinzu.
-
Wählen Sie das Red Hat Registry als Typ aus.
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Geben Sie die URL des Registry ein https://registry.connect.redhat.com/.
-
Geben Sie den Benutzernamen und das Passwort des Kontos an, das zur Verwaltung des Registry verwendet wird.
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Repository kann Wildcards mit einem Anfangsstring haben
-
Beispiel neuvector/all*:2*
-
*, um alle Bild-Tags zu scannen
-
OpenShift-Registry
Fügen Sie das OpenShift Registry mit Benutzername und Passwort hinzu.
-
Wählen Sie das OpenShift Registry als Typ aus.
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Geben Sie die URL des Registry ein (erhalten Sie sie aus der Ausgabe des Befehls "oc get is" im OpenShift-Netzwerk, wenn sie von der Standard-URL abweicht).
-
Standard-Registry-URL
https://docker-registry.default.svc:5000
-
-
Geben Sie den Benutzernamen und das Passwort des Kontos an, das zur Verwaltung des Registry verwendet wird.
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Beispiel openshift/htt*:*
-
*, um alle Bild-Tags zu scannen
-
-
Aktivieren Sie den automatischen Scan, um den Scan zu starten, sobald das Bild im OpenShift-Image-Stream aktualisiert wird.
Fügen Sie das OpenShift Registry mit Token hinzu.
-
Wählen Sie das OpenShift Registry als Typ aus.
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Geben Sie die URL des Registry ein (erhalten Sie sie aus der Ausgabe des Befehls "oc get is" im OpenShift-Netzwerk, wenn sie von der Standard-URL abweicht).
-
Standard-Registry-URL
https://docker-registry.default.svc:5000/
-
-
Geben Sie das Token des Dienstkontos an, das Zugriff auf alle Namespaces hat
-
Überprüfen Sie die folgende Notiz, um ein Servicekonto zu erstellen und ein Token zu erhalten.
-
Servicekonto erstellen
-
oc project default
-
oc create sa nvqa
-
oc get sa
-
-
Weisen Sie dem Servicekonto die Cluster-Admin-Rolle zu, um alle Registries lesen zu können.
-
oc adm Richtlinie add-cluster-role-to-user cluster-admin system:serviceaccount:default:nvqa
-
-
Token für das Servicekonto abrufen
-
oc sa get-token nvqa
-
-
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Beispiel openshift/htt*:*
-
*, um alle Bild-Tags zu scannen
-
-
Aktivieren Sie den automatischen Scan, um den Scan zu starten, sobald das Bild im OpenShift-Image-Stream aktualisiert wird.
Stabilitätsprobleme im OpenShift 3.7-Registry
In OpenShift 3.7 können API-Aufrufe zum Abrufen von Containerbild-Metadaten oder zum Herunterladen eines Bildes zufällig fehlschlagen. Es kann auch bei zufälligen Bildern in verschiedenen Scan-Durchläufen fehlschlagen. Sie können unvollständige Bildlisten sehen oder Scans können bei einigen Bildern fehlschlagen, wenn dies passiert. Wenn dies auftritt, kann das Repository erneut gescannt werden.
JFrog Artifactory
Hinzufügen des JFrog Artifactory Registry (Docker-Zugriffsmethode — Repository-Pfad) JFrog-Verwaltungsseite admin→HTTP-Einstellung zeigt die Docker-Zugriffsmethode – Repository-Pfad.
Fügen Sie das JFrog Artifactory Registry (Docker-Zugriffsmethode — Repository-Pfad) hinzu.
-
Wählen Sie JFrog Artifactory als Typ
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Geben Sie die URL der Registry mit Port an, zum Beispiel
http://10.1.7.122:8081/
-
-
Geben Sie einen Benutzernamen und ein Passwort an, falls von der Registry erforderlich
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Repository oder Tag kann am Ende Wildcards haben, wie abc/*, abc/n*
-
Um alle Tags für ein Repository zu scannen, verwenden Sie zum Beispiel alpine:*
-
Der Wildcard muss der vollständige Name, Pfad oder Anfangsstring vorausgehen.
-
* um alle Tags zu scannen
-
Fügen Sie das JFrog Artifactory Registry hinzu (Docker-Zugriffsmethode — Subdomain).
JFrog-Verwaltungsseite admin→HTTP-Einstellung zeigt die Docker-Zugriffsmethode — Subdomain an
Fügen Sie das JFrog Artifactory Registry hinzu (Docker-Zugriffsmethode — Subdomain).
-
Wählen Sie JFrog Artifactory als Typ
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Geben Sie die URL der Registry mit Port an, zum Beispiel
http://10.1.7.122:8081/ -
Wählen Sie Subdomain als JFrog Docker-Zugriffsmethode
-
Geben Sie einen Benutzernamen und ein Passwort an, falls von der Registry erforderlich
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Subdomain/Repository:Tag
-
Repository oder Tag kann am Ende Wildcards haben, wie abc/*, abc/n*
-
Um alle Tags für ein Repository zu scannen, verwenden Sie zum Beispiel alpine:*
-
Der Wildcard muss der vollständige Name, Pfad oder Anfangsstring vorausgehen.
-
* zum Scannen aller Tags von allen Subdomains
-
|
Erstellen Sie ein virtuelles Repository und fügen Sie alle lokalen und entfernten Repository hinzu. Geben Sie dieses virtuelle Repository im Filterbereich an, um alle Tags von lokalen und entfernten Repository zu scannen. |
Fügen Sie das subdomain-basierte JFrog-Register hinzu, um Bilder von der docker-local Subdomain zu scannen
Fügen Sie das subdomain-basierte JFrog-Register hinzu, um alle Tags von allen Subdomains zu scannen
Fügen Sie das JFrog Artifactory Registry (Docker-Zugriffsmethode — Port) hinzu.
JFrog-Verwaltungsseite Admin→HTTP-Einstellung zeigt die Docker-Zugriffsmethode - Port
JFrog-Verwaltungsseite Admin→Lokales Repository→docker-local Repository→ Erweitert - zeigt Repository-URL und Registry-Port 8181
JFrog-Verwaltungsseite Admin→Lokales Repository→guo Repository→ Erweitert - zeigt Repository-URL und Registry-Port 8182
-
Wählen Sie JFrog Artifactory als Typ
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Geben Sie die URL des Registry mit Port an, zum Beispiel
http://10.1.7.122:8181/.-
Jeder Registry-Name hat einen einzigartigen Port.
-
-
Wählen Sie den Port als JFrog Docker-Zugriffsmethode
-
Geben Sie einen Benutzernamen und ein Passwort an, falls von der Registry erforderlich.
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Repository oder Tag kann am Ende Platzhalter haben, wie abc/, abc/n
-
Um alle Tags für ein Repository zu scannen, zum Beispiel alpine, verwenden Sie alpine:*
-
Der Wildcard muss der vollständige Name, Pfad oder Anfangsstring vorausgehen.
-
* zum Scannen aller Tags
-
Fügen Sie das JFrog Registry für die Portzugriffsmethode für das Registry docker-local mit Port 8181 hinzu.
Fügen Sie das JFrog Registry für die Portzugriffsmethode für das Registry mit Port 8182 hinzu.
Fügen Sie das JFrog Registry für die Portzugriffsmethode für das virtuelle Registry mit Port 8188 hinzu, zu dem alle lokalen Repositories hinzugefügt wurden.
Zeigt das gescannte Ergebnis für das docker-local Registry an
Fügen Sie das SaaS JFrog Artifactory Registry (Docker-Zugriffsmethode — Port) hinzu.
Wählen Sie JFrog Artifactory als Typ
-
Geben Sie dem Registry einen eindeutigen Namen.
-
Geben Sie die Registry-URL ein, zum Beispiel https://jfrogtraining-docker-nv-virtual.jfrog.io
-
Wählen Sie den Port als JFrog Docker-Zugriffsmethode
-
Geben Sie einen Benutzernamen und ein Passwort an, falls von der Registry erforderlich.
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
* um alle Tags aller Repositorys zu scannen
-
Beginnen Sie mit dem Scannen einer JFrog Artifactory-Registry
-
Wählen Sie die zu scannende Registry aus
-
Klicken Sie auf die Schaltfläche Start, um zu scannen
-
Warten Sie, bis der Status von Scannen auf Inaktiv wechselt
-
Die Scan-Zeit variiert je nach Größe des Repositorys
-
NeuVector-Registry-Scannen mit JFrog-Registry
Für das Scannen der NeuVector-Registry mit einer JFrog-Registry im Subdomain-Modus ist die Subdomain typischerweise das Präfix der JFrog-Registry-URL.
Standard-JFrog-Subdomain-Beispiel
JFrog-Registry-URL: https://mysubdomain.myhost.com
-
mysubdomain: Subdomain
-
myhost.com: JFrog-Registry-Hostname
Beispiel für einen Registry-Filter: mysubdomain/docker-service-broker-tmp-local/devop/test/joe/*
Wenn JFrog eine angepasste Subdomain verwendet
Wenn Sie eine modifizierte Subdomain in der Registry-URL verwenden.
JFrog-Registry-URL: https://artifact-mysubdomain.myhost.com
-
artifact-mysubdomain: modifizierte Subdomain, die nur in der Registry-URL verwendet wird
-
mysubdomain: tatsächliche Subdomain im JFrog-Server
-
myhost.com: JFrog-Registry-Hostname
Beispiel für einen Registry-Filter: myrepo/docker-service-broker-tmp-local/devop/test/joe/*
|
NeuVector unterstützte zuvor diese Umgebungen. Die Unterstützung brach jedoch nach dem Upgrade auf neuere JFrog-Server-Versionen, da NeuVector nicht bestimmen kann, ob der tatsächliche Subdomain-Wert aus der URL oder dem Filter stammt (zum Beispiel artifact-meinesubdomain vs. meinesubdomain). |
Erforderliche Korrektur
Wenn die Subdomain nicht das Präfix der JFrog-Registry-Server-URL ist, müssen Sie den Registry-Filter in diesem Format konfigurieren:
JFrog-Registry-URL: https://artifact-mysubdomain.myhost.com
Registry-Filter: <mysubdomain>/docker-service-broker-tmp-local/devop/test/joe/*
|
Das erforderliche Format: |
Durch die Angabe des Filters in diesem Format kann NeuVector die tatsächliche Subdomain, die für die Kommunikation mit dem JFrog-Server im Subdomain-Modus verwendet wird, korrekt identifizieren.
Google Container Registry
Ref: https://cloud.google.com/container-registry/docs/advanced-authentication https://cloud.google.com/container-registry/docs/advanced-authentication#json_key_file
Aktivieren Sie die Cloud Resource Manager API für das Projekt
Google Cloud Platform→Projekt wählen→API und Dienste→APIs und Dienste aktivieren→Suche “Cloud Resource Manager API”→API aktivieren https://console.cloud.google.com/apis/library?project=nvtest-219600&q=Cloud%20Resource%20Manager%20API (Projektname ändern)
Erstellen Sie einen Schlüssel für das Container-Dienstkonto
Google Cloud Platform→IAM→Dienstkonto→Konto mit Container-Registry→Schlüssel erstellen(Aktion)
Fügen Sie die Google Container Registry über die SUSE® Security GUI hinzu
-
Wählen Sie Google-Registry als Typ
-
Geben Sie der Registry einen eindeutigen Namen
-
Geben Sie die Registry-URL ein. Beispiel https://gcr.io/ (dies könnte auch us.gcr.io, eu.gcr.io usw. sein)
-
Fügen Sie den gesamten Inhalt der oben erfassten JSON-Datei in den JSON-Schlüssel ein.
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Projekt-ID/Repository:Tag
-
Beispiel nvtestid-1/neuvector*:*
-
*, um alle Bild-Tags zu scannen
-
Azure Container Registry
Erhalten Sie den Azure-Container-Benutzernamen und das Passwort wie unten gezeigt
Azure-Container-Registry → Benutzer→ Zugriffsschlüssel→Passwort
Anzeigen des Azure-Portals Benutzernamens und Passworts für den Zugriff auf das Container-Registry
Azure Container Registry über die SUSE® Security GUI hinzufügen
-
Wählen Sie Azure-Registry als Typ aus
-
Geben Sie der Registry einen eindeutigen Namen
-
Geben Sie die Registry-URL ein. Beispiel
https://neuvector.azure.io(vom Azure-Portal)-
Container-Registry→Benutzer→Übersicht→Anmeldeserver
-
-
Benutzername und Passwort hinzufügen
-
Azure-Container-Registry → Benutzer→ Zugriffsschlüssel→Passwort
-
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
repository:tag
-
Beispiel alpine:*
-
*, um alle Bild-Tags zu scannen
-
Anzeigen des Anmeldeservers des Azure-Portals für Azure Container Registry
Hinzufügen des Azure Container Registry zum Scannen aller Tags
Sonatype Nexus Docker-Registry
Ref: https://help.sonatype.com/repomanager3/private-registry-for-docker https://hub.docker.com/r/sonatype/nexus3/
Sonatype Nexus Docker-Registry hinzufügen
-
Wählen Sie Sonatype Nexus als Typ aus
-
Geben Sie der Registry einen eindeutigen Namen
-
Geben Sie die Registry-URL mit Port an
-
Geben Sie Benutzernamen und Passwort an, falls dies von der Registry erforderlich ist
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/repository:Tag
-
Repository kann Wildcards mit einem Anfangsstring haben
-
Beispiel neuvector/all*:2*
-
*, um alle Bild-Tags zu scannen
-
Hinzufügen der Sonatype Nexus Docker-Registry mit Benutzername/Passwort und Repository *:* zum Scannen
GitLab Container-Registry
Beispielkonfigurationen für GitLab-Umgebungen
sudo docker run --detach \
--hostname gitlab \
--env GITLAB_OMNIBUS_CONFIG="external_url 'http://10.1.7.73:9096'; gitlab_rails['lfs_enabled'] = true;" \
--publish 10.1.7.73:9095:9095 --publish 10.1.7.73:9096:9096 --publish 10.1.7.73:6222:22 \
--name gitlab \
--restart always \
--volume /srv/gitlab/config:/etc/gitlab \
--volume /srv/gitlab/logs:/var/log/gitlab \
--volume /srv/gitlab/data:/var/opt/gitlab \
gitlab/gitlab-ce:latest
External_URL: http://10.1.7.73:9096
Registry_URL: https://10.1.7.73:9095Erhalten Sie das private Token von GitLab, wie unten gezeigt
-
Navigieren Sie zur Einstellungsseite über das Symbol in der oberen rechten Ecke der GitLab-Anmeldeseite, wie unten dargestellt:
-
Navigieren Sie zur Seite für Zugriffstoken, wie unten von der Seite Benutzer-Einstellungen gezeigt:
-
Füllen Sie alle anwendbaren Felder aus und klicken Sie auf “Create personal access token”, wenn Sie bereit sind, das Zugriffstoken zu generieren:
-
Das Zugriffstoken ist nicht mehr verfügbar, sobald der Benutzer von der Seite mit dem generierten Token weg navigiert hat. Daher wird dringend empfohlen, eine Kopie des Zugriffstokens zu erstellen, bevor Sie die folgende Seite verlassen oder schließen:
Abrufen der externen URL und der Registry-URL
Externe URL: Die externe URL ist die URL des API-Servers.
Registry-URL: Diese kann von der Seite Container Registry der GitLab-Webkonsole abgerufen werden. Ein Weg, um zu dieser Seite zu gelangen, ist die Navigation von der GitLab-Webkonsole über Projekte > Ihre Projekte > Administrator / … > linke Seitenleiste (Container Registry) > Mauszeiger (root/…/)
Das folgende ist ein Beispiel-Screenshot der Seite, das sowohl die externe URL als auch die Registry-URL zeigt:
Fügen Sie die GitLab-Registry von der SUSE® Security Konsole hinzu
-
Wählen Sie GitLab als Registry-Typ aus
-
Geben Sie der Registry einen eindeutigen Namen
-
Geben Sie die Registry-URL mit Port an
-
Geben Sie Benutzernamen und Passwort an, falls dies von der Registry erforderlich ist
-
Geben Sie die externe URL von GitLab und das private Token aus dem vorherigen Abschnitt an
|
Die Registry-URL wird verwendet, um Bilder in die SUSE® Security Scanner-Plattform von GitLab zu ziehen, um eine Registry-Überprüfung durchzuführen. Während die externe URL verwendet wird, um eine Liste von Bildern, Registries und Metadaten abzurufen, die von der Registry-Scan-Funktion verwendet werden. |
IBM Cloud Container Registry
IBM Container Registry hinzufügen
-
Wählen Sie IBM Cloud Container Registry als Typ aus
-
Geben Sie der Registry einen eindeutigen Namen
-
Geben Sie die Registry-URL https://us.icr.io/ ein.
-
Geben Sie iamapikey als Benutzernamen und den untenstehenden apikey als Passwort an
-
Erstellen Sie apikey über die CLI
-
ibmcloud iam api-key-create atibmKey
-
-
Erstellen Sie apikey über die GUI
-
IBM Cloud→Manage-Access(IAM)-IBM Cloud API Keys
-
-
-
IBM Cloud-Konto bereitstellen
-
IBM Cloud-Konto über die CLI abrufen
-
Ibmcloud cr info
-
-
-
Fügen Sie das Repository im folgenden Format als Filter hinzu
-
Organisation/Repository:Tag
-
Repository kann Wildcards mit einem Anfangsstring haben
-
Beispiel neuvector/all:2
-
-
um alle Bild-Tags zu scannen
-
-
-
Aktivieren Sie andere Parameter, falls erforderlich
|
Der Benutzername für die Authentifizierung der Registry muss 'iamapikey' sein |
Harbor Registry
Verwenden Sie die gleichen Anweisungen wie für die native Docker-Registry und wählen Sie Harbor Registry als Registry aus.
Das Filterfeld darf nicht leer gelassen werden. Geben Sie einen Repository-Filter ein oder fügen Sie den Filter * hinzu, um alle Repositories zu scannen.
GitHub Container Registry
Verfügbar in NeuVector v5.4.3 und später wird das Scannen von Bildern jetzt von der GitHub Container Registry (GHCR) unterstützt, sodass Benutzer Bilder, die in GitHub gespeichert sind, in ihre Sicherheits- und Compliance-Workflows einbeziehen können.
Fügen Sie die GitHub Container Registry hinzu
Um die GHCR in NeuVector zu konfigurieren, gehen Sie zu Add Registry und wählen Sie GitHub Container Registry aus dem Dropdown-Menü für den Registrierungstyp aus.
| Feld | Beschreibung |
|---|---|
Name |
Ein Name zur Identifizierung dieser Registrierungskonfiguration. |
Registrierung |
Die GHCR Registrierungs-URL. Beispiel: |
Benutzername |
Ihr GitHub-Benutzername. |
Token |
Ein GitHub Personal Access Token mit |
Filter |
Geben Sie den Namespace an, der gescannt werden soll (z. B. |
Token-Berechtigungen
Um auf GHCR zuzugreifen, müssen Sie ein GitHub-Token mit den folgenden Berechtigungen generieren:
-
read:packages(erforderlich) -
repo(wenn auf private Repositories zugegriffen wird)
Sie können ein Token hier erstellen.