운영 컨테이너 스캔

Scans container images in a Kubernetes cluster for vulnerabilities.

히스토리 GitLab 15.4에서 starboard 지시자가 더 이상 사용 중단 됨. starboard 지시자는 GitLab 16.0에서 제거될 예정입니다. 지원되는 아키텍처 # GitLab agent for Kubernetes 16.10.0 이상 및 GitLab agent Helm Chart 1.25.0 이상에서 운영 컨테이너 스캔(OCS)은 linux/arm64 및 linux/amd64 를 지원합니다. 이전 버전에서는 linux/amd64 만 지원됩니다. 운영 컨테이너 스캔 활성화 # OCS를 사용하여 클러스터의 컨테이너 이미지에서 보안 취약점을 스캔할 수 있습니다. GitLab agent for Kubernetes 16.9 이상에서 OCS는 이미지에서 취약점을 스캔하기 위해 Trivy 를 감싼 래퍼 이미지 를 사용합니다. GitLab 16.9 이전에는 OCS가 Trivy 이미지를 직접 사용했습니다. OCS는 agent config 또는 프로젝트의 스캔 실행 정책을 사용하여 일정에 따라 실행하도록 구성할 수 있습니다. Note agent config 와 scan execution policies 가 모두 구성된 경우 scan execution policy 의 구성이 우선합니다. 에이전트 구성을 통해 활성화 # 에이전트 구성을 통해 Kubernetes 클러스터 내의 이미지 스캔을 활성화하려면 스캔이 실행될 시기를 나타내는 CRON 표현식 이 있는 cadence 필드와 함께 에이전트 구성에 container_scanning 구성 블록을 추가합니다. container_scanning: cadence: '0 0 * * *' # Daily at 00:00 (Kubernetes cluster time) cadence 필드는 필수입니다. GitLab은 cadence 필드에 대해 다음 유형의 CRON 구문을 지원합니다: 지정된 시간에 하루에 한 번의 일일 cadence. 예: 0 18 * * * 지정된 요일 및 시간에 일주일에 한 번의 주간 cadence. 예: 0 13 * * 0 Note 구현에서 사용된 cron 에서 지원하는 경우 cadence 필드에서 CRON 구문 의 다른 요소가 작동할 수 있습니다. 그러나 GitLab은 이를 공식적으로 테스트하거나 지원하지 않습니다. CRON 표현식은 Kubernetes 에이전트 파드의 시스템 시간을 사용하여 UTC 로 평가됩니다. 기본적으로 운영 컨테이너 스캔은 취약점을 위한 어떠한 워크로드도 스캔하지 않습니다. 스캔할 네임스페이스를 선택하는 데 사용할 수 있는 namespaces 필드와 함께 vulnerability_report 블록을 설정할 수 있습니다. 예를 들어 default , kube-system 네임스페이스만 스캔하려면 다음 구성을 사용할 수 있습니다: container_scanning: cadence: '0 0 * * *' vulnerability_report: namespaces: - default - kube-system 모든 대상 네임스페이스에 대해 다음 워크로드 리소스의 모든 이미지