TG:@yunlaoda360
镜像版本不可变功能确保合规
- ACR支持开启镜像版本不可变功能,除
latest版本外,存量和新增的其他镜像版本均不可覆盖。这样可以有效避免人为误操作引起的镜像版本覆盖问题,保障容器镜像版本的一致性,从而确保镜像的合规性。
镜像安全扫描功能
- 自动触发扫描:在云原生交付链中,ACR能在镜像推送完成后自动进行安全扫描。如果用户设置过安全阻断策略,系统会识别镜像的安全风险并阻断高风险的容器镜像,只有通过安全策略的镜像才会进入后续的分发和部署环节。
- 创建扫描规则:用户可以在镜像扫描页面创建扫描规则,实现镜像推送自动触发扫描。这样可以按照设定的规则定期检查镜像的合规性,及时发现潜在的安全问题。
- 集成安全扫描API:用户可以集成安全扫描的相关API,实现自定义周期的镜像安全扫描功能,以满足特定的业务需求和合规要求。
与云效流水线集成进行合规性检查
- 镜像扫描集成:云效Flow流水线内置了Trivy镜像扫描工具,并集成了ACR镜像扫描功能。在镜像推送至仓库前后会自动发起扫描,检测镜像中的安全漏洞、许可证问题和恶意软件,确保只有通过扫描的镜像才能用于后续部署。
- 自动触发流水线:用户可以配置预发CI流水线,从代码构建镜像并推送到ACR镜像仓库。同时,在预发CD流水线中开启制品源触发,选择镜像扫描完成作为触发事件,实现镜像扫描通过后自动触发预发环境部署。
配置审计规则保障合规
- 镜像扫描功能审计:通过配置审计规则,可以检查是否开启了容器镜像实例的安全扫描功能。如果开启了则视为合规,未开启则会被识别为不合规,并提示用户进行修正。
- 镜像版本不可变审计:配置审计规则还可以确保容器镜像服务镜像版本为不可变。如果镜像版本为可变,则会被视为不合规,并引导用户进行修正。
