Snyk 컨테이너 작동 방식

컨테이너 이미지

Open Container Initiative (OCI) 명세에 따르면, 컨테이너 이미지는 계층화된 파일 시스템과 관련된 메타데이터로 구성됩니다.

컨테이너 이미지에는 종종 다음과 같은 제살업체 소프트웨어가 포함됩니다:

Debian, Ubuntu, 또는 CentOS와 같은 운영 체제 배포본. 자세한 내용은 Snyk Container - 지원되는 운영 체제 배포본을 참조하십시오.
npm, pip, RubyGems와 같은 응용 프로그램 패키지 관리자

Snyk Container가 감지하는 것

Snyk Container가 사용 가능한 통합을 사용하여 이미지를 테스트할 때, Snyk은 먼저 이미지에 설치된 소프트웨어를 찾습니다. 이에는 다음이 포함됩니다:

dpkg, rpm, apk 운영 체제 패키지
인기 있는 비관리 소프트웨어 (패키지 관리자 외부에서 설치된 소프트웨어)
매니페스트 파일의 존재 여부에 따른 응용 프로그램 패키지

최종 파일 시스템을 결정하기 위해 Snyk은 컨테이너 이미지의 계층을 하나로 압축하지 않습니다. Snyk은 각 중간 레이어에서 지원되는 응용 프로그램 패키지 매니페스트 파일을 검색하며, 이러한 파일이 후속 레이어에 의해 삭제되었더라도 스캔합니다.

Snyk이 설치된 소프트웨어 목록을 갖고 있는 후, Snyk은이를 Snyk 취약점 데이터베이스에서 확인합니다. 이 데이터베이스는 공개 소스와 독점적인 연구를 결합하고 있습니다.

Snyk은 OCI 호환 및 Docker v2 호환 이미지를 지원하지만 OCI와 Docker v2 표준을 단일 아카이브로 결합한 이미지는 지원하지 않습니다.

공식 기술 자문 자원을 사용하는 Snyk Container

Snyk은 지원되는 Linux 배포판의 보안팀과 직접 협력하여 영향을 받는 패키지에 대한 가장 정확하고 신뢰할 수 있는 정보를 제공합니다 (수정 가능 여부 포함). 명시된 특정 패키지 버전은 공식 컨테이너 소스에서 배포되는 것이며, 상위 패키지 버전과 다를 수 있습니다.

비관리 컨테이너 소프트웨어

써드파티로부터 실행 파일로 다운로드되는 패키지 관리자를 사용하여 설치되지 않는 일부 소프트웨어 구성 요소가 있습니다. Snyk은 다음 구성 요소의 버전을 감지하기 위해 파일 지문 기술을 사용합니다:

Node.js
OpenJDK 8 바이너리

반복적인 컨테이너 이미지 스캔

Snyk은 지속적으로 새로운 취약점을 공개합니다. Snyk은 이미지 소프트웨어가 변경되지 않았더라도 새로운 취약점이 발표될 때 해당 이미지의 새로운 취약점에 대해 알릴 수 있습니다.

Snyk 서비스에서 설치된 소프트웨어의 스냅샷을 저장하는 통합을 사용하는 경우 이미지가 변경되지 않았다면, Snyk Container는 이미지에 접근하지 않고 자동으로 다시 스캔하여 새로운 취약점에 대해 알립니다.

이미지가 변경된 경우, 업데이트된 이미지와 해당 메타데이터에 액세스할 수 있도록 이미지를 다시 가져와야 하며, 그 후 Snyk이 스캔을 다시 실행할 수 있습니다.

반복 스캔은 응용 프로그램 의존성의 업데이트를 감지하지 않습니다. 반복 스캔은 응용 프로그램의 종속성 스냅샷을 사용하여 새로운 취약점을 테스트합니다. 응용 프로그램의 변경 사항, 예를 들어 업데이트된 종속성을 감지하려면 Snyk에서 컨테이너 이미지를 다시 가져와야 합니다.

PreviousSnyk Container NextSnyk Container가 지원하는 운영 체제 배포판

Last updated 7 months ago