Snyk Container CLI의 고급 사용

아카이브 스캔

로컬 Docker 데몬 또는 원격 레지스트리에서 이미지를 스캔하는 것 외에도 Snyk은 다음 명령을 사용할 때 Docker 또는 Open Container Initiative (OCI) 아카이브를 직접 스캔하거나 모니터링할 수 있습니다.

• snyk container test docker-archive:<filename>.tar

• 또는 snyk container test oci-archive:<filename>.tar.

CLI 버전 1.1296.0부터 다음 명령을 사용하여 Kaniko 이미지 아카이브를 스캔하고 모니터링할 수 있습니다.

• snyk container test kaniko-archive:<filename>.tar

• snyk container monitor kaniko-archive:<filename>.tar.

CLI 버전 1.1297.0부터 아카이브 유형을 지정하지 않고 이미지 아카이브를 스캔하고 모니터링할 수 있습니다.

• snyk container test <filename>.tar

• snyk container monitor <filename>.tar.

이 업데이트는 현재 CLI 스캔 기능에 대한 전체 지원을 유지하고 하위 호환성을 보장합니다.

예시:

snyk container test docker-archive:archive.tar
snyk container test oci-archive:archive.tar
snyk container test kaniko-archive:archive.tar
snyk container test archive.tar

다중 플랫폼 이미지 테스트

일부 리포지토리는 필요한 운영 체제 및 아키텍처에 따라 여러 다른 이미지를 가리키는 다중 매니페스트를 나타냅니다. 특정 플랫폼에 대한 이미지를 명시적으로 스캔하려면 Snyk CLI container test 명령을 사용할 수 있습니다. 예를 들면 다음과 같습니다.

--platform 옵션은 다음 중 하나를 포함해야 합니다.

• linux/amd64

• linux/arm64

• linux/riscv64

• linux/ppc64le

• linux/s390x

• linux/386

• linux/arm/v7

• linux/arm/v

원격 컨테이너 레지스트리 인증

Docker가 설치된 경우 Snyk CLI container 명령은 미리 구성된 레지스트리 인증을 사용합니다. Docker를 사용하지 않는 경우 다음 방법 중 하나로 명령줄에서 자격 증명을 전달할 수 있습니다.

• 다음 환경 변수 사용: SNYK_REGISTRY_USERNAME 및 SNYK_REGISTRY_PASSWORD

• 사용자 이름과 암호 전달:

대체 Docker 컨텍스트 사용

Snyk CLI container 명령은 항상 기본 Docker 컨텍스트를 사용합니다. Snyk CLI가 대체 컨텍스트의 연결을 사용하도록 강제하려면 DOCKER_HOST 환경 변수를 원하는 컨텍스트 URI로 설정하십시오.

기타 자주 사용되는 CLI 옵션

자주 사용되는 CLI 옵션은 다음과 같습니다.

• --json - 다른 도구와 통합하는 데 유용합니다.

• --sarif - 다른 도구와 통합하는 데 유용합니다. 이 옵션은 container test에서만 사용할 수 있습니다. OASIS Static Analysis Results Interchange Format (SARIF)도 참조하십시오.

• --exclude-base-image-vulns - container test에서만 사용할 수 있습니다.

• --severity-threshold - container test에서만 사용할 수 있습니다.

• --exclude-app-vulns

• --nested-jars-depth

• --fail-on - container test에서만 사용할 수 있습니다.

자세한 내용 및 CLI 옵션은 Snyk CLI 컨테이너 도움말을 참조하거나 다음을 실행하여 도움말을 표시하십시오.