number of pods need to be started minAvailable: 3 schedulerName: volcano plugins: # job level ssh trust ssh: [] # define network relevant info for running, # hosts, headless services etc. svc: [] # restart

篡改或被冒名发布恶意镜像， 会造成镜像仓库和用户双方的安全风险。 2.2.4 敏感信息泄露攻击 当开发人员使用默认的或在容器镜像中保留硬编码的敏感数据，比如密码、 API 密钥、加密密钥、SSH 密钥、令牌等，或者在 Dockerfile 文件中存储了固 定密码等敏感信息并对外进行发布，都可能导致数据泄露的风险。攻击者会使用 扫描工具，比如 SecretScanner 等，探测镜像中存在的敏感信息，发现容器镜 （2）镜像风险检测 建立黄金镜像仓库，使用安全的基础镜像构建镜像，由于代码的相关依赖， 依然会引入一定量的软件、文件等内容，所以需建立相关能力，对镜像可能存在 的漏洞、软件成分、敏感信息（备份文件、SSH 密钥、敏感环境变量等）、木马 病毒等风险进行审查，并建立卡点及修复流程机制，形成规范。 （3）镜像来源检测 镜像来源检测，也称为可信镜像，是一项安全实践，旨在验证和确保容器镜 像的来源可信 云原生安全威胁分析与能力建设白皮书 66 SCA Software Composition Analysis 软件成分分析 SQL Structured Query Language 结构化查询语言 SSH Secure Shell 安全外壳 VLAN Virtual Local Area Network 虚拟局域网 WAF Web Application Firewalls 网站应用级入侵防御系统

容器镜像的扫描能力 ，可扫描发现CNNVD、 CVE等漏洞信息 ， 提 供 详 细的漏洞分析能力联动。 安全风险发现 针对容器镜像内Webshell 、 病毒、木马进行检测；针 对 镜 像 文件中的SSH密钥 、 环境变量中的密码等敏感 信息进行发现，防止敏感 信息泄露。 构建历史命令审计 对镜像文件构建的历史命 令进行审计扫描，对高危 操作进行标记并告警。 镜像发布管控 镜像在被发布之前，依据

接器执行 Connector 连接受控端 主机 主机 主机 DevOps-CICD 软件制品库 Docker引擎安装包、K8S安 装包、数据库等等 投放剧本(Yaml) 根据剧本拉取软件安装 包通过SSH向主机安装 Ansible有个缺陷，无法安装OS，Salt具备 此能力，但是对主机有侵入性