Analyse d’images Docker

Si le serveur sur lequel Cyberwatch est installé dispose d’un noyau inférieur à 5.11, il est nécessaire d’avoir une version de cbw-on-premise supérieure ou égale à la version 5.25 afin de pouvoir scanner des images Docker.

Configuration des registres

À partir de la page Réglages > Identifiants enregistrés, vous pouvez ajouter des identifiants de type Registre Docker. À des fins de tests, le registre public Docker Hub est configuré par défaut.

Si votre registre utilise un certificat auto-signé, il vous faudra soit désactiver la vérification de certificats, soit le faire signer par une autorité reconnue. Notez également que le moteur d’exécution Docker nécessitera probablement une configuration similaire, telle que décrite dans https://docs.docker.com/registry/insecure/.

Les registres privés Amazon ECR nécessitent un accès à l’API AWS pour l’authentification. La procédure pour créer une clé d’API et l’ajouter en tant qu’identifiants enregistrés à Cyberwatch est la même que pour les découvertes Amazon EC2. La clé d’API doit autoriser la création de mot de passe temporaire pour la connexion au registre. Pour ensuite faire apparaitre la sélection de clé AWS sur la page d’ajout d’un registre Docker, l’URL du registre doit terminer par .amazonaws.com.

Google Artifact Registry requiert une clé JSON de compte de service pour l’authentification. Voir https://cloud.google.com/artifact-registry/docs/docker/authentication?hl=en#json-key pour les détails. Vous devez tout d’abord enregistrer cette clé comme identifiant enregistré de type Google Cloud Platform. Ensuite, lors de l’ajout du registre Docker, vous pourrez sélectionner votre clé GCP aussitôt que l’URL terminera par -docker.pkg.dev.

Ajout d’une image Docker

Les images Docker sont configurables depuis la page Gestion des actifs > Images Docker.

Pour ajouter une image Docker :

1. Aller sur Gestion des actifs > Images Docker
2. Cliquer sur Ajouter dans le coin haut droit

3. Compléter le formulaire :

   • Image correspond au nom de l’image Docker au format namespace/name. Pour une image officielle hébergée sur Docker Hub, veuillez préciser explicitement l’espace de noms library.
   • Tag correspond à la version de l’image à utiliser
   • Registre correspond au dépôt Docker depuis lequel télécharger l’image
   • Source correspond au nœud Cyberwatch qui doit effectuer le scan
4. Cliquer sur Confirmer

Une fois l’image ajoutée, une analyse sera lancée en tâche de fond, et en cas de succès ajoutera l’image à l’inventaire Vulnérabilités. L’actif associé, ou une éventuelle erreur, seront affichés sur l’index Images Docker quand la tâche d’analyse se termine.

---

Table of contents

• Scanner les images Docker sur une CI GitLab
• Scanner les images Docker sur un registre Harbor