显然不可能使用 Anchore Grype 对 Docker 镜像中的漏洞执行安全扫描,除非该镜像之前已推送到注册表。
这使得它目前不适合从易受攻击的映像中控制您的注册表,因为可以将映像推送到那里,然后 - 在扫描完成之前 - 这个带有一些严重 CVE 的受感染映像可以立即被毫无戒心的用户拉取(在映像被获取之前)撤回)。
如何解决这个问题?
重现问题
docker buildgrype$ ./scan-with-grype-dockerized.sh mirekphd/ml-cache:20230726
[0000] INFO grype version: 0.64.2
1 error occurred:
* failed to catalog: unable to load image: unable to use OciRegistry source: failed to get image descriptor from registry: GET https://index.docker.io/v2/mirekphd/ml-cache/manifests/20230726: MANIFEST_UNKNOWN: manifest unknown; unknown tag=20230726
作为解决方法,您可以考虑以
gryperoot$ docker run --rm --name grype -u 0 -v /var/run/docker.sock:/var/run/docker.sock anchore/grype:latest --only-fixed mirekphd/ml-cache:20230731
NAME INSTALLED FIXED-IN TYPE VULNERABILITY SEVERITY
libcrypto1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2022-4304 Medium
libcrypto1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2022-4450 High
libcrypto1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2023-0215 High
libcrypto1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2023-0286 High
libcrypto1.1 1.1.1s-r0 1.1.1t-r1 apk CVE-2023-0464 High
libcrypto1.1 1.1.1s-r0 1.1.1t-r2 apk CVE-2023-0465 Medium
libcrypto1.1 1.1.1s-r0 1.1.1u-r0 apk CVE-2023-2650 High
libcrypto1.1 1.1.1s-r0 1.1.1u-r2 apk CVE-2023-3446 Medium
libssl1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2022-4304 Medium
libssl1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2022-4450 High
libssl1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2023-0215 High
libssl1.1 1.1.1s-r0 1.1.1t-r0 apk CVE-2023-0286 High
libssl1.1 1.1.1s-r0 1.1.1t-r1 apk CVE-2023-0464 High
libssl1.1 1.1.1s-r0 1.1.1t-r2 apk CVE-2023-0465 Medium
libssl1.1 1.1.1s-r0 1.1.1u-r0 apk CVE-2023-2650 High
libssl1.1 1.1.1s-r0 1.1.1u-r2 apk CVE-2023-3446 Medium
注意:如果您在此处未使用
--only-fixedskopeodocker rundocker savedocker-daemon:grypeoci-dir: