Google推出容器儲存庫漏洞掃描服務，加強公有雲容器環境安全

當容器技術已普遍落地在各大型公有雲服務商後，其安全性也成為企業能否導入正式環境的關鍵點。在近日，Google宣布，自家公有雲推出容器儲存庫漏洞掃描Beta版服務，可以提早在CI/CD階段中，掃描映像檔是否存在已知漏洞，避免開發者將有安全疑慮的映像檔，部署至正式環境。

這個新推出的漏洞掃描服務，與Google自家的雲端部署工具Cloud Build整合使用下，當開發者將映像檔上傳至容器儲存庫時，系統會觸發漏洞掃描機制，偵測這些上傳的OS打包檔、映像檔是否有漏洞。同時，此漏洞掃描服務也與GCP平臺上的資安控制服務Binary Authorization整合，確保使用者上傳、部署於Kubernetes環境的映像檔，都是來自可信來源、未經手動干預的映像檔。

當系統完成映像檔掃描程序後，會提供維運人員細節資訊，包含漏洞嚴重程度、CVSS分數、目前是否有提供維修更新檔。透過內建的過濾機制，維運人員可以根據事件嚴重性，決定映像檔更新作業的排程。

目前這款漏洞掃描服務所支援的Linux打包檔格式，包含Ubuntu、Debian、Alpine等作業系統，Google未來還會擴大支援CentOS、RHEL。而既有導入容器資安解決方案如Aqua、Twistlock，未來也能與此服務整合，擴大企業用戶的容器安全網。

Google認為，從CI/CD流程中就加強系統安全非常重要，除了能減少時間成本，確保軟體開發下游流程的安全性，也能降低風險，「資安管控流程必須是全程自動化，而非使用應急的手動操作。」

Google這款漏洞掃描服務，自家的CI/CD平臺Cloud Build、資安控制服務Binary Authorization整合。當開發者上傳映像檔，在CI/CD流程要先通過漏洞掃描。接著，以掃描結果為基礎，Binary Authorization服務會強制套用管理政策。當映像檔通過這兩層機制，才會被系統認證為安全映像檔，可部署於Google Kubernetes環境中運作。圖片來源：Google