3.2. 容器内容扫描

容器扫描工具可利用不断更新的漏洞数据库，以确保始终了解容器内容的已知漏洞的最新信息。已知漏洞列表不断变化 ; 您必须在首次下载容器镜像时检查容器镜像的内容,并持续跟踪所有批准和部署的镜像的漏洞状态。

RHEL 提供了一个可插入的 API，以支持多个扫描仪。您还可以使用带有 OpenSCAP 的 Red Hat CloudForms 扫描容器镜像以了解安全问题。有关 RHEL 中 OpenSCAP 的一般信息，请参阅 Red Hat Enterprise Linux 安全指南 ，以及 Red Hat CloudForms 策略及侧写指南中有关 OpenSCAP 集成的具体内容。

OpenShift Container Platform 可让您在 CI/CD 过程中利用这些扫描程序。例如，您可以集成静态代码分析工具来测试源代码中的安全漏洞，并集成软件组成分析工具来标识开源库，以提供关于这些库的元数据，如已知漏洞。这在构建过程中进行了更详细的介绍。