레이블을 사용하여 Dockerfile과 컨테이너 이미지 자동 연결

Snyk을 사용하면 Dockerfile에서 빌드된 모든 컨테이너 이미지로 수동 또는 자동으로 연결할 수 있습니다. 이를 사용하여 실행 중인 애플리케이션에 대한 보안 영향을 파악하고, 조치를 취하고 Dockerfile 기본 이미지를 업데이트할 때 어떤 이미지를 더 잘 보호할 수 있는지 또는 다시 빌드해야 하는지 파악할 수 있습니다.

연결된 이미지 작동 방식

가져오거나 다시 스캔할 때 이미지가 분석되고 취약점이 스캔됩니다. 이미지 라벨도 이미지 매니페스트에서 검색됩니다. 그런 다음 Snyk은 다음을 확인합니다.

• Dockerfile 위치를 정의하는 이미지 라벨이 존재합니다.

  • (필수) org.opencontainers.image.source - 프로젝트 리포지토리의 URL, 예: org.opencontainers.image.source="https://github.com/example/test"

  • (선택 사항) io.snyk.containers.image.dockerfile - Dockerfile의 경로, 예: io.snyk.containers.image.dockerfile="/app/Dockerfile-prod" . 이 라벨은 다음과 같은 경우에만 필요합니다.

    • Dockerfile이 리포지토리의 루트에 없습니다.

    • Dockerfile 이름이 Dockerfile이 아닙니다.

• Dockerfile 프로젝트가 동일한 조직에 존재하며 이미지 라벨의 리포지토리(및 경로 또는 /Dockerfile)와 일치합니다.

이러한 조건이 적용되면 Snyk은 이미지와 Dockerfile 프로젝트 간에 링크를 자동으로 생성합니다.

연결된 이미지 보기

LINKED IMAGES 아래의 프로젝트 페이지에서 연결된 이미지를 볼 수 있습니다.

컨테이너 레지스트리 통합을 사용하여 가져온 이미지와 기존 Dockerfile 프로젝트 간에 자동 링크를 얻을 수 있습니다. 이렇게 하려면 이미지의 OCI 라벨이 Snyk에 있는 조직의 Dockerfile 경로와 일치하는지 확인하십시오.

링크 자동 업데이트 및 제거

Dockerfile 라벨이 업데이트되고 새 위치를 타겟팅하는 경우 링크가 자동으로 업데이트됩니다. 이는 다시 스캔하거나 반복 스캔 중에 발생할 수 있습니다.

다음과 같은 경우 링크가 제거됩니다.

• 이미지 프로젝트 또는 Dockerfile 프로젝트가 삭제됩니다.

• Dockerfile 라벨이 업데이트되어 Snyk에 기존 프로젝트 없이 Dockerfile 위치를 타겟팅합니다.

• Dockerfile 라벨이 제거됩니다.

중개된 SCM 통합으로 자동 링크 생성

링크를 생성하려면 Snyk이 Dockerfile 리포지토리 URL을 올바른 SCM 조직 소스에 매핑할 수 있어야 합니다. 중개된 통합의 경우 기본적으로 URL을 사용할 수 없으므로 프로세스가 더 복잡합니다.

컨테이너 이미지와 중개된 SCM에 저장된 Dockerfile 간에 자동 링크를 생성하려면 통합 설정 페이지에 URL을 입력하십시오.

URL을 사용할 수 있으면 Snyk이 이를 사용하여 링크를 생성할 수 있습니다.