Перейти к содержанию

Работа с Docker-образами

Подключение реестра с образами

Для работы с Docker-образами необходимо предварительно подключить registry (реестр с образами) в разделе System -> Registries.

Переход на форму создания нового подключения осуществляется по кнопке Setup new. В форме необходимо заполнить следующие поля:

  • Name – название реестра;
  • Is active – признак действующего реестра. Для недействующих реестров не будет обновляться список доступных образов;
  • Type – тип менеджера репозитория (Sonatype Nexus Repository, JFrog Artifactory или другой);
  • Auth type – тип авторизации (Basic или Bearer);
  • Host – адрес реестра с указанием протокола. Например: https://jfrog.example.com;
  • Username – имя пользователя с доступом к реестру;
  • Password – пароль.

Важно: при подключении GitLab Container Registry необходимо выбрать тип авторизации Bearer.

Проверить подключение после заполнения данных можно по кнопке Test it.

После создания нового подключения по кнопке Setup now реестр отобразится в списке раздела, с возможностью просмотреть информацию о нем (View), изменить параметры подключения (Edit), или удалить подключение (Delete).

Для обновления списка доступных образов необходимо нажать на кнопку Update images list на странице просмотра. Также на странице просмотра доступна проверка подключения по кнопке Refresh status.

Просмотр и сканирование образов

После подключения реестра полученные названия образов автоматически отображаются в разделе Components -> Container images. Каждая запись в списке содержит следующую информацию:

  • Name – название образа;
  • Container registry – название реестра, в котором содержится образ;
  • Dependencies – количество найденных зависимостей;
  • Vulnerabilities - количество найденных уязвимостей;
  • Scan status – статус сканирования образа;
  • Block status – статус блокировки компонента на момент последнего запроса (для репозиториев с плагином CodeScoring OSA);
  • Last scanned – дата последнего сканирования.

По умолчанию добавленный образ не является просканированным. Для проведения анализа необходимо перейти на страницу образа и нажать на кнопку Run SCA. По результатам сканирования на странице образа появится информация о найденных зависимостях и уязвимостях, а также список сработавших политик безопасности.

Для каждого просканированного образа доступно скачивание SBoM и PDF-отчета, а также просмотр истории сканирований по кнопке SCA scan history.