第7章 Pod の脆弱性のスキャン

手順

1. Operators → OperatorHub に移動し、Security を選択します。
2. Container Security Operator を選択し、Install を選択して Create Operator Subscription ページに移動します。
3. 設定を確認します。すべての namespace および自動承認ストラテジーがデフォルトで選択されます。
4. Install を選択します。Container Security Operator は、Installed Operators 画面に数分後に表示されます。

5. オプションで、カスタム証明書を CSO に追加できます。以下の例では、現在のディレクトリーに quay.crt という名前の証明書を作成します。次に、以下のコマンドを実行して証明書を CSO に追加します。

   $ oc create secret generic container-security-operator-extra-certs --from-file=quay.crt -n openshift-operators

6. カスタム証明書を追加した場合、新規証明書を有効にするために Operator Pod を再起動します。

7. OpenShift Dashboard を開きます (Home → Overview)。Quay Image Security へのリンクが status セクションに表示され、これまでに見つかった脆弱性の数の一覧が表示されます。以下の図のように、リンクを選択して Quay Image Security breakdown を表示します。

   

8. この時点で、検出された脆弱性をフォローするために以下の 2 つのいずれかの操作を実行できます。

   • 脆弱性へのリンクを選択します。コンテナーを取得したコンテナーレジストリーにアクセスし、脆弱性についての情報を確認できます。以下の図は、Quay.io レジストリーから検出された脆弱性の例を示しています。

     

   • namespaces リンクを選択し、ImageManifestVuln 画面に移動します。ここでは、選択されたイメージの名前、およびイメージが実行されているすべての namespace を確認できます。以下の図は、特定の脆弱なイメージが quay-enterprise namespace で実行されていることを示しています。