云原生安全开源项目 CNSI(项目代号:Narrows)发布了 0.4 版本,新增了 “cnsi-scanner-trivy” 的组件,帮助用户更容易的进行工作负载的漏洞扫描。使用该组件也可以非常方便的进行镜像内软件包漏洞、错误配置和 license 信息的扫描。除此之外,该版本引入了 Redis DB 用来存储扫描结果。在配置镜像扫描器之后,就可以使用 Trivy 进行镜像扫描。
同时,在这个版本中更新了安装部署脚本。
具体使用的方式如下:
首先克隆 CNSI 的代码,并使用 deploy.sh 脚本进行安装部署。
克隆代码:
git clone git@github.com:vmware-tanzu/cloud-native-security-inspector.git
切换目录进行安装部署:
cd cloud-native-security-inspector
./deploy.sh install
在完成安装之后,“cnsi-scanner-trivy” 会作为 deployment 被部署在 Kubernetes 集群中,并创建对应的配置和服务。可以查看对应组建情况:
同时 cnsi-scanner-trivy 会暴露两个 endpoint(对应下图中的 /scan 和 /scan/{scan_request_id}/report),分别用来请求对相应的容器进行扫描以及返回对应的扫描结果。
同时,cnsi-scanner-redis 的集群也会不部署在 Kubernetes 中。Redis 负责存储由 Trivy 扫描之后的报告数据。具体结构如下图:
在用户登陆到 CNSI 的 portal 之后,在创建 policy 的页面中,当用户选择启用了 inspector 这个扫描器之后,在每次扫描被触发时,会优先尝试使用集群内的扫描器为用户进行扫描并生成报告。
之后,可以点击 Reports -> Image Risks Reports 菜单获取扫描结果。
下图是生成的扫描结果中的报告内容:
其中包含了镜像中存在的漏洞信息以及配置文件清单。
与此同时,用户也可以选择在命令行进行漏洞的扫描。
运行以下命令获取 trivy 扫描器的 pod 名称:
kubectl get po -n cnsi-system
使用下面的命令,可以通过命令行的方式对任意指定镜像进行扫描并获取结果。
kubectl exec -n cnsi-system cnsi-scanner-trivy-6bf77df5d-xwhjz – trivy image --scanners config,vuln,license grafana/grafana
Narrows 已经由 VMware 公司开源,采用商业化友好的阿帕奇 2.0 软件许可,方便用户作扩展和创新。欢迎广大用户参与到我们的开源项目中,并期待您的使用和反馈。如果您对 Narrows 开源项目感兴趣,希望与我们更密切地合作,或者希望进行测试和试用、提出建议或 bug,请发邮件至 narrows @ vmware.com。
内容来源|公众号:VMware 中国研发中心
有任何疑问,欢迎扫描下方公众号联系我们哦~
617
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
