漏洞扫描器在安全领域已经存在一段时间,专注于在软件开发阶段揭示潜在风险。过去,安全团队通常在开发者完成工作后才运行扫描,将有问题的代码返回给开发者修复。如今的“左移”模式将扫描前置到开发与持续集成(CI)周期的早期,但多数组织仍需搭建自动化,将扫描与 CI 工具连接起来。最近的更新为 CI 循环内的自动化扫描提供了内置功能,使其成为关键步骤。
现在,您可以为某个镜像仓库配置触发扫描的规则:每次将镜像推送到该仓库时,扫描自动执行;完成后,您可以在账户中查看对应的扫描结果。漏洞数据在系统中分为若干层级:漏洞严重性摘要、完整漏洞清单,以及对特定漏洞的详细信息。Pro 与 Team 版本用户可以通过扫描功能,为每个镜像创建简洁的验证流程。
第 1 步 – 启用仓库级别的扫描
您可以为每个镜像仓库单独设定扫描规则,这样便于将自动化流程逐步融入团队的协作与应用构建阶段。可以先在较小范围内应用,随后再扩展到组织中的其他部门。若某个活跃开发的仓库不再需要扫描,同样可以通过简单的设置来禁用。
第 2 步 – 运行扫描
第 3 步 – 查看结果
扫描完成后,进入仓库的页面即可查看结果摘要。仓库页面的常规选项卡会汇总该仓库所有镜像的扫描结果,显示在每次扫描中识别出的高、中、低漏洞数量。
点击某个具体标记的漏洞部分,将跳转到该标记的漏洞选项卡,在那里可以看到该次扫描中识别的漏洞总数。漏洞选项卡包含对漏洞的严重性摘要,并显示完整的漏洞清单。
漏洞清单按严重性从高到低排序,以确保最紧迫的问题优先呈现。相同严重性的漏洞按通用漏洞评分系统(CVSS)分数的降序排列。CVSS 是一个用于为软件漏洞分配数值的公开标准。清单中还包含公开披露的常见漏洞(CVE)标识,以及包含该漏洞的软件包名称和版本信息。如果有可用的修复版本,”已修复” 列会显示对应软件包的更高版本。
该清单的呈现顺序和信息层级,旨在帮助团队快速识别并响应高优先级的安全风险,提升镜像的整体安全态势。
