Exploración de imágenes de función para vulnerabilidades

Descubra cómo activar y desactivar exploraciones de imágenes de función transferidas a Container Registry mediante OCI Functions, y cómo comprobar los resultados de la exploración en busca de vulnerabilidades encontradas en esas imágenes de función.

En OCI Functions, la definición de una función especifica la imagen de Docker que transferir a un repositorio de Oracle Cloud Infrastructure Registry y extraer de él.

Puede configurar Oracle Cloud Infrastructure Registry (también conocido como Container Registry) para explorar las imágenes de función cuando se transfieren al repositorio de una función. Las imágenes de función se exploran en busca de vulnerabilidades de seguridad publicadas en la base de datos de exposiciones y vulnerabilidades comunes (CVE) disponible públicamente. Consulte Escaneado de imágenes para vulnerabilidades.

Para realizar la exploración de imágenes de función, Container Registry utiliza el servicio Oracle Cloud Infrastructure Vulnerability Scanning y la API REST de Vulnerability Scanning (consulte Destinos de imagen de contenedor en la documentación del servicio Vulnerability Scanning). Tenga en cuenta que debe otorgar al servicio Vulnerability Scanning permiso para extraer imágenes de Container Registry (consulte Política de IAM necesaria para explorar imágenes de función para vulnerabilidades).

Puede activar la exploración de imágenes de función agregando un escáner de imágenes al repositorio de la función. A partir de entonces, el escáner de imágenes analiza las imágenes transferidas a ese repositorio para detectar vulnerabilidades. Si el repositorio ya contiene imágenes, las cuatro imágenes transferidas más recientes se exploran inmediatamente para detectar vulnerabilidades. Puede desactivar la exploración de imágenes en un repositorio concreto eliminando el escáner de imágenes. Consulte Uso de la consola para activar y desactivar la exploración de imágenes.

Cuando se agregan nuevas vulnerabilidades a la base de datos de CVE, Container Registry vuelve a escanear automáticamente imágenes en los repositorios que tienen activada la exploración.

Puede ver los resultados de las exploraciones de imágenes en la consola (consulte Uso de la consola para ver los resultados de las exploraciones de imágenes). Para cada imagen de función escaneada, puede ver:

• Resumen de cada exploración de la imagen durante los últimos 13 meses, que muestra el número de vulnerabilidades encontradas en cada exploración y un único nivel de riesgo general para cada exploración. Los resultados del escaneo de imágenes se conservan durante 13 meses para permitirle comparar los resultados del escaneo a lo largo del tiempo.
• Resultados detallados de cada exploración de imagen, para ver una descripción de cada vulnerabilidad, junto con su nivel de riesgo, y (si está disponible) un enlace a la base de datos de CVE para obtener más información.

Utilice siempre las últimas imágenes de tiempo de compilación y base de tiempo de ejecución de FDK para reducir el número de vulnerabilidades conocidas incluidas en una imagen y notificadas en los resultados del análisis. Consulte Cómo actualizar una función existente para utilizar la última versión de imagen base de tiempo de creación y tiempo de ejecución de FDK para un lenguaje soportado