search

컨테이너 이미지 분석 및 수정

CLI 명령 snyk container monitor를 사용하여 컨테이너 프로젝트를 Snyk으로 가져올 수 있습니다. 또는 Snyk Web UI를 사용하여 지원되는 컨테이너 레지스트리에서 직접 프로젝트를 가져올 수 있습니다.

Snyk은 컨테이너 이미지의 스냅샷을 가져온 다음 스냅샷에서 취약점을 스캔합니다. 구성에 따라 매일 또는 매주 Snyk은 원래 가져오기에서 스냅샷된 종속성을 정기적으로 스캔하며, 이는 차례로 해당 태그를 참조합니다. 구성에 따라 새로운 취약점이 식별되면 Snyk은 이메일이나 Slack으로 업데이트를 보냅니다.

이미지의 태그가 변경되고 원래 태그가 다른 이미지에 사용되는 경우, 다시 스캔할 때(매일 또는 매주) Snyk은 Linux 패키지 종속성의 변경 사항을 감지하고 해당 프로젝트의 새 스냅샷을 생성하지만, 애플리케이션 종속성의 변경 사항은 감지하지 않으므로 애플리케이션 취약점에 대한 스냅샷을 업데이트하지 않습니다.

즉, 태그를 자주 재사용하여 다른 이미지를 참조하는 경우 Snyk이 애플리케이션 종속성을 업데이트할 수 있도록 다른 이미지를 다시 가져와야 합니다.

hashtag
컨테이너 프로젝트 그룹화

이미지를 가져오는 방식(Snyk CLI, 컨테이너 레지스트리 통합 또는 Kubernetes 통합)에 따라 Projects 탭에서 프로젝트가 다르게 그룹화됩니다.

hashtag
Snyk CLI로 이미지 가져올 때 프로젝트 그룹화

Snyk은 이미지와 이미지에서 발견된 애플리케이션을 그룹화합니다. 그러나 Snyk CLI는 그룹화에 이미지 태그를 사용하지 않으므로 Snyk은 다른 이미지 태그에 대해 하위 그룹화를 수행하지 않습니다. 따라서 동일한 리포지토리에서 다른 이미지 태그를 가진 이미지는 모두 그룹화됩니다.

hashtag
컨테이너 레지스트리 통합으로 이미지 가져올 때 프로젝트 그룹화

컨테이너 레지스트리 통합으로 이미지를 Snyk으로 가져오는 경우 Projects 목록에서 Snyk은 각 이미지 이름에 대해 이미지 태그별로 하위 그룹화를 수행합니다.

하위 그룹의 다른 이미지 태그가 있는 이미지
하위 그룹으로 그룹화된 다른 이미지 태그가 있는 이미지

hashtag
Kubernetes 통합으로 이미지 가져올 때 프로젝트 그룹화

Kubernetes 통합을 사용하여 이미지를 Snyk으로 가져오는 경우 최상위 클릭 가능한 항목은 클러스터의 워크로드를 나타냅니다. Snyk은 이미지 태그별 하위 그룹화 없이 워크로드의 이미지를 기반으로 그룹화를 수행합니다.

hashtag
이미지 취약점 보기

프로젝트를 레지스트리 통합에서 가져온 경우 Projects 페이지에 관련 레지스트리 아이콘이 표시됩니다. 프로젝트를 CLI에서 가져온 경우 CLI 아이콘이 표시됩니다. 모든 컨테이너 프로젝트를 표시하도록 필터링할 수도 있습니다.

컨테이너 프로젝트를 열면 해당 프로젝트에 대한 분석 및 수정 조언이 나타납니다.

컨테이너 프로젝트에 대한 분석 및 수정 조언을 표시하는 프로젝트 페이지
컨테이너 프로젝트에 대한 분석 및 수정 조언

다음 정보가 표시됩니다.

  • 프로젝트 요약: 고유한 세부 정보를 포함한 일반 프로젝트 세부 정보:

    • Image ID - 컨테이너 이미지 다이제스트에서 파생됨

    • Image tag

    • Base Image

    • 알려진 취약점이 있는 총 종속성 및 총 취약점 수

  • 수정 조언: 모니터링을 위해 Dockerfile을 포함했다면 사용 가능하고 실행 가능한 수정 조언이 표시됩니다. 모든 수정 조언을 보려면 Show more upgrade types를 클릭하십시오.

Issues 탭은 출처 및 경로를 포함한 취약점 목록과 취약점 개요를 제공합니다.

문제 목록에서 지원되는 모든 프로젝트 유형에 사용할 수 있는 필터와 다음 필터를 사용할 수 있습니다.

  • OS BINARIES - 문제가 포함된 바이너리 및 패키지에 대한 특정 바이너리 또는 OS 패키지를 확인합니다.

  • IMAGE LAYER - Dockerfile 지침을 확인합니다. Dockerfile을 첨부하면 기본 이미지와 관련된 문제만 보거나, Dockerfile 관련 조언(사용자 지침)을 보거나, 둘 다 보도록 필터링할 수 있습니다.

바이너리 및 이미지 필터
OS 바이너리 및 이미지 계층 필터
circle-info

컨테이너에 Node 바이너리 취약점이나 OS 패키지와 같이 한 가지 범주의 문제만 있는 경우 OS BINARIES 필터가 나타나지 않습니다.

Dockerfile이 첨부되지 않은 경우 IMAGE LAYER 필터가 나타나지 않습니다.

Dependencies 탭은 이미지 내부의 패키지 계층 구조에 대한 트리 뷰를 제공합니다.

hashtag
이미지 취약점 수정

공개 기본 이미지 권장 사항을 제공할 때 Snyk은 감지한 기본 이미지의 원본 리포지토리, 버전(flavor) 및 버전을 기반으로 논리를 수립합니다.

기본 이미지 업그레이드에 대한 Snyk 권장 사항은 다음을 참조합니다.

  • Minor upgrades: 사용 가능한 가장 안전하고 최상의 마이너 업그레이드

  • Major upgrades: 더 많은 취약점을 줄이지만 더 큰 위험이 있는 메이저 업그레이드 옵션

  • Alternative upgrades: 현재 기본 이미지를 취약점이 가장 적은 가능한 다른 기본 이미지로 교체하기 위한 실행 가능한 이미지 옵션

  • 오래된 경우 기본 이미지를 다시 빌드하라는 권장 사항

기본 이미지 업그레이드 권장 사항에는 다음이 포함됩니다.

  • 권장되는 기본 이미지 버전의 이름

  • 권장되는 업그레이드에 존재하는 취약점 수

  • 취약점 심각도 요약

기본 이미지 업그레이드 권장 사항
기본 이미지 업그레이드 권장 사항
Previous컨테이너 이미지의 애플리케이션 취약점 감지Next사용자 정의 베이스 이미지 권장 사항 사용

Last updated