컨테이너 베이스 이미지 감지

취약한 기본 이미지를 감지하면 취약점의 원인을 식별하고 권장 사항에 따라 기본 이미지를 업데이트하여 수정할 수 있습니다.

컨테이너 통합(예: CLI 또는 컨테이너 레지스트리 통합)을 구성한 후 기본 이미지를 감지할 수 있습니다.

Snyk Container가 기본 이미지를 식별하는 방법

취약한 기본 이미지를 식별하려면 다음 방법 중 하나를 사용할 수 있습니다.

• 자동 감지 - Snyk이 컨테이너 이미지를 분석할 때 이미지 매니페스트에서 관련 메타데이터를 추출하고 기본 이미지를 감지합니다. 이 방법은 이미지 매니페스트의 rootfs 계층을 분석하며, 이는 DockerHub의 하나 이상의 이미지 또는 이미지 태그와 동일할 수 있습니다.

• Dockerfile - Snyk은 Dockerfile을 사용하여 취약한 기본 이미지를 감지할 수도 있습니다. --file 플래그를 사용하여 CLI snyk container test 스캔에 첨부하거나, 프로젝트 설정을 통해 SCM에서 연결하거나, Git 리포지토리를 가져올 때 감지 및 스캔할 수 있습니다. 자동 감지에 비해 Dockerfile을 사용하는 것이 더 정확할 수 있지만 추가 단계가 필요합니다.

  다단계 Dockerfile의 경우 Snyk은 최종 FROM 줄에 도입된 이미지에 포함된 기본 이미지를 감지합니다. Docker의 다단계 빌드 문서에 따르면, 이는 여러 FROM 문을 사용하면 "한 단계에서 다른 단계로 아티팩트를 선택적으로 복사하여 최종 이미지에 원하지 않는 모든 것을 남겨둘 수 있기" 때문입니다.

두 방법 모두 Snyk UI에 프로젝트가 생성됩니다.

이미지 계층

Snyk에서 Docker 이미지를 스캔할 때 취약점을 도입하는 이미지 계층의 지침을 볼 수 있습니다. 이 시점에서는 아무런 조치도 취할 필요가 없습니다.

기본 이미지 업그레이드에 대한 Snyk Container 권장 사항

기본 이미지가 Snyk 지원 이미지인 경우 결과에는 발견된 일부 취약점을 해결하기 위한 업그레이드 권장 사항이 포함됩니다.

이를 통해 마이너 및 메이저 업그레이드와 취약점이 더 적을 수 있는 대체 기본 이미지의 취약점 수를 확인할 수 있습니다. 이 정보를 바탕으로 기본 이미지를 업그레이드할지 여부와 가장 적합한 이미지를 결정할 수 있습니다.

지침에 의해 추가된 취약점 중에서 프로젝트의 기본 이미지 취약점을 우선순위 점수별로 정렬하여 볼 수 있습니다.

Image Layer 필터 아래의 Base image 옵션을 사용하여 기본 이미지 취약점만 필터링할 수도 있습니다.

자세한 내용은 컨테이너 이미지 분석 및 수정을 참조하십시오.