當容器技術已普遍落地在各大公有云服務後，安全性也成為企業能否匯入正式環境的關鍵點。近日，Google公有云推出容器儲存庫漏洞掃描功能，可以提早在CI/CD階段中，掃描映象檔案是否存在已知的漏洞，避免開發者將有安全疑慮的映象，部署至正式環境。

這個新推出的漏洞掃描服務，與Google自家的雲服務部署工具Cloud Build整合使用下，當開發者將映象上傳至容器儲存庫時，系統會觸發漏洞掃描機制，偵測這些上傳的OS打包檔案、映象檔案是否有漏洞。同時，此漏洞掃描服務也與GCP平臺上的安全控制服務Binary Authorization整合，確保使用者上傳、部署於Kubernetes環境的映象都是來自可信來源、未經手動干預後的映象。

當系統完成映象檔案掃描程式後，運維同學可以檢視掃描後細節資訊，包含漏洞嚴重程度、CVSS分數、目前是否有提供維修更新映象等。通過內建的過濾機制，運維同學可以根據事件嚴重性，決定映象檔案更新操作的排期。

目前這款漏洞掃描服務所支援的Linux打包的檔案格式包含Ubuntu、Debian、Alpine等作業系統，Google未來還會擴大支援CentOS、RHEL。而如果使用已有的容器安全解決方案如Aqua、Twistlock，未來也能與此服務整合，擴大企業使用者的容器安全網。

Google認為，從CI/CD流程中就加強系統安全非常重要，除了能減少時間成本，確保軟體開發下游流程的安全性，也能降低風險，「安全管控流程必須是全程自動化，而非使用應急的手動操作。」

作者：王立恆

原文：

https://www.ithome.com.tw/news/125986