近期 Spring 漏洞等高危漏洞頻發，為幫助使用者更好地發現及降低映象中的安全隱患，減少生產環境潛在安全風險，在 2022 年 4 月 1 日 00:00 - 2022 年 4 月 15 日 24:00 期間，阿里雲容器映象服務企業版（ACR EE） 支援免費試用體驗雲安全掃描引擎。 支援不同映象版本 1 萬次掃描額度（以映象 Digest 區分，相同 Digest 不限次掃描）。如果您當前企業版例項未預設開啟使用，可以提工單（地址：https://selfservice.console.aliyun.com/ticket/category/acr/recommend/1230）申請。該掃描引擎由 ACR EE 與雲安全深度合作提供，全面支援掃描容器映象中的系統漏洞、應用漏洞、基線檢查、惡意樣本，提供持續的風險發現能力及自動修復能力。

容器安全重要性

隨著企業上雲率不斷提升，越來越多的企業選擇在生產環境中使用容器架構。基於 CNCF 2020 年釋出的報告[1]中顯示，在生產中應用容器的企業比例從去年的 84% 增長到 2021 年的 92%。Gartner 預測[2] 2025 年 95% 的企業將基於雲原生平臺。艾瑞諮詢在《中國容器雲市場研究報告》中顯示，2020 年有 84.7%[3]（43.9% 已經使用，40.8%計劃使用）的中國企業已經或計劃使用容器。同樣，軟體開發內生安全性將成為評價企業 DevOps 成熟度水平的重要指標，在實踐了DevOps的團隊中，48%[4]最看重 Security 特性。

但是由於容器應用具備的敏捷彈性、高密度部署、開放複用，讓使用者在享受雲原生紅利的同時，也產生了較大的安全擔憂。Tripwire 2019 年對 311 位 IT 安全專業人員進行了調研，發現 60% 的組織都遭遇過容器安全事故[5] ，不管是 Kubernetes 叢集被侵入事件還是 Docker Hub 頻繁被爆含有漏洞和惡意程式的映象，讓越來越多的企業開始關注容器安全的最佳實踐。

阿里雲容器映象服務企業版

阿里雲容器映象服務企業版（簡稱 ACR EE）是一個企業級的雲原生應用製品管理平臺，提供容器映象、Helm Chart 等 OCI 製品安全託管和高效分發能力。在 DevSecOps 場景中，企業客戶可以使用 ACR 雲原生應用交付鏈，實現高效安全的雲原生應用交付，加速企業的創新迭代。在全球多地域協作、業務出海、GoChina 場景，企業客戶可以使用全球同步成能力，同時結合全球統一域名實現就近拉取，提升分發運維效率。在大規模分發、AI 大映象訓練推理場景，企業可以使用 ACR P2P 分發或按需分發能力，進一步提升部署迭代效率。檢視詳情：https://www.aliyun.com/product/acr

什麼是增強型掃描引擎？

增強型掃描引擎由 ACR EE 和雲安全中心深度合作提供，掃描能力相較於目前流行的開源掃描引擎版本（Clair等），提供了更精準的漏洞篩選能力（所有漏洞均經過專業團隊安全運營，確保有效性，大幅降低誤報率）。同時 ACR EE 提供了批量掃描和自動掃描的能力，支援名稱空間和倉庫不同粒度的掃描範圍，可以針對不同場景訴求提供自動化、規模化掃描支援。此外 ACR EE 提供了事件通知能力，支援和客戶現有的 DevOps 流程做整合。

目前掃描引擎支援的掃描風險型別如下：
• 系統漏洞： 支援常見主流作業系統的漏洞識別，並支援一鍵修復。例如Linux核心漏洞、不安全的系統軟體包、不安全的Java SDK等。
• 應用漏洞： 提供映象應用漏洞掃描功能，為您掃描容器相關中介軟體上的漏洞，支援包括系統服務弱口令、系統服務漏洞、應用服務漏洞的檢測。例如fastjson遠端程式碼執行漏洞、Apache Log4j2遠端程式碼執行漏洞、Spring Framework遠端程式碼執行漏洞、Apache Hadoop 資訊洩露漏洞、Apache Tomcat資訊洩露漏洞等。
• 基線檢查： 提供映象安全基線檢查功能，為您掃描容器資產中存在的基線安全風險，支援作業系統和服務（資料庫、伺服器軟體、容器等）的弱口令、賬號許可權、身份鑑別、密碼策略、訪問控制、安全審計和入侵防範等安全配置，並提供檢測結果，針對存在的風險配置給出加固建議。例如Access Key洩漏、未授權訪問、服務配置等。
• 惡意樣本： 提供容器惡意樣本的檢測能力，為您展示資產中存在的容器安全威脅，幫助您找到存在惡意樣本的位置，便於您根據位置修復惡意樣本，大幅降低您使用容器的安全風險。例如發現後門（Webshell）檔案、自變異木馬、後門程式等。

如何啟用增強型掃描引擎？

1. 在企業版例項管理頁面選擇安全可信 > 映象掃描，點選右上角的切換按鈕，將掃描引擎切換到雲安全掃描引擎。如下圖所示：
   

2. 在映象掃描頁面建立掃描規則，目前支援名稱空間和倉庫級別的掃描規則的自動掃描。也可以選擇手動觸發掃描，針對規則範圍下的存量映象進行全量風險識別。推薦您配置掃描事件通知，在映象掃描完成後以釘釘、HTTP 或者 HTTPS 方式將掃描結果進行同步。

3. 建立完掃描規則後，點選立即掃描，檢視掃描任務狀態及最終的風險狀態。
   

4. 點選檢視詳情，從系統漏洞、應用漏洞、基線檢查、惡意樣本多個維度確認容器映象的安全風險。如下圖所示，可以看到映象中包含的近期 Spring 等高危漏洞已被分析識別出來。
   

5. 同時配置的釘釘機器人也收到相應通知報警（也支援 HTTP/HTTPS 等方式進行通知）。

雲原生應用交付鏈助力企業實現 DevSecOps

ACR EE 除了支援容器映象的深度風險識別與修復，還提供了雲原生應用交付鏈能力，支援靈活的安全策略保障製品更安全、高效交付上線。同時雲原生應用交付鏈中的各個環節也可以被您的 CI/CD 流程（如 Jenkins Pipeline、GitLab Runner 等）整合使用。

1.升級企業版例項規格為高階版，在例項概覽頁點選雲原生交付鏈 > 交付鏈， 點選建立交付鏈。在安全掃描節點，設定當出現一個高危漏洞後，阻斷容器映象的後續交付，可選刪除原始風險映象或備份。

2.在交付鏈作用範圍內，自動推送一個帶有高危風險的容器映象，會自動觸發安全掃描並執行安全策略，阻斷風險映象部署。

3. 如果映象存在系統漏洞，可以在交付鏈阻斷之後進行一鍵修復

• 交付鏈被阻斷

• 勾選所有風險項，點選一鍵修復

• 等待映象修復完成，預設修復完成後會構建出 tag 以 _fixed 結尾的新映象並重新觸發交付鏈執行

• 可以觀察到修復後鏡像經過安全掃描後已經沒有之前的漏洞，並且交付鏈也順利執行完成，同時在映象版本頁面也可以看到原映象和修復映象的風險狀態對比

附錄

[1]Cloud Native Survey 2020
https://www.cncf.io/blog/2020/11/17/cloud-native

[2]Gartner：雲將成為新數字體驗的核心
https://www.gartner.com/cn/newsroom/press-releases/cloud-will-be-the-centerpiece-of-new-digital-experiences

[3]2020 年中國容器雲市場研究報告——艾瑞雲原生系列報告（一）
https://www.iresearch.com.cn/Detail/report?id=3701&isfree=0

[4]2020年中國 DevOps 應用發展研究——艾瑞雲原生系列報告（二）
https://www.iresearch.com.cn/Detail/report?id=3702&isfree=0

[5] 60% of Organizations Suffered a Container Security Incident in 2018, Finds Study
https://www.tripwire.com/state-of-security/devops/organizations-container-security-incident/