 |
注意TMAS検索結果は、検索完了後35日間のみ入場制御ポリシーに有効です。この期間が過ぎると、画像は検索されていないものとして扱われます。入場制御ポリシーを使用する場合、同じ画像を35日ごとに少なくとも1回検索する必要があります。これにより、入場制御の決定が比較的最近の脆弱性、不正プログラム、および秘密の発見に基づいて行われることが保証されます。
|
コードセキュリティ
 |
重要これは「プレリリース」機能であり、正式なリリースとしては扱われません。この機能を使用する前に、
プレリリースに関する免責事項
をご確認ください。
|
検索結果は自動的にCode Securityに送信され、Artifacts/Inventoryページで確認できます。詳細については、Code Securityポリシーを参照してください。
Container Security
トレンドマイクロ Artifact Scanner (TMAS) の結果を Container Security のアドミッションコントロールポリシーに統合できます。CLI
のインストールとセットアップ方法については、Trend Micro Artifact Scanner (tmas) をCI/CDパイプラインに統合する を参照してください。
検索結果は、 Container Securityに自動的に送信されます。ただし、
registryアーティファクトの種類 (レジストリ:yourrepo/yourimage@digest ) 結果を使用できるようにします。例:
tmas scan registry:nginx@sha256:08e9c086194875334d606765bd60aa064abd3c215abfbcf5737619110d48d114 -VMS
これは、レジストリからイメージを取得し、SBOMを生成し、オープンソースの脆弱性、不正プログラム、および秘密のスキャンを実行します。
クラスタにコンテナをデプロイする場合は、デプロイするイメージのイメージダイジェストを指定します。このダイジェストは、イメージがレジストリにプッシュされたときに生成されます。また、TMASでイメージを検索するときにも使用する必要があります。これにより、検索結果をクラスタに配信されるイメージと自動的に関連付けることができます。
TMASでは複数アーキテクチャ (マルチアーキテクチャ) イメージの検索がサポートされていますが、マルチアーキテクチャイメージのダイジェストまたはタグが指定されている場合は、マニフェストリストの1つのイメージのみが検索されます。検索対象のイメージは、プラットフォームフラグに基づいて選択されます。初期設定の検索対象アーキテクチャは
Linux/amd64 。検索結果はアーキテクチャ固有であるため、評価された脆弱性が選択したアーキテクチャに合わせて調整されます。マルチアーキテクチャタグまたはダイジェストを使用してイメージを検索および配信すると、検索対象とは異なるアーキテクチャのノードがクラスタに存在する場合、セキュリティ上のリスクが発生します。
 |
警告イメージの配信に関連するリスクと脅威を正確に評価するには、イメージを検索してクラスタに配信するときに、アーキテクチャ固有のダイジェストを提供します。これにより、検索されたイメージがクラスタにデプロイされるイメージと一致するようになります。この関連付けにより、アドミッションコントロールポリシーを簡単に設定できます。たとえば、CRITICAL脆弱性を持つコンテナイメージがクラスタにデプロイされないようにブロックできます。
|
次に、アーティファクトスキャナーの結果を利用するContainer Protectionポリシーを作成します。