مشاركة عبر

المفاهيم: التصحيح المستمر في Azure Container Registry

تعمل ميزة التصحيح المستمر لسجل حاويات Azure على أتمتة الكشف عن الثغرات الأمنية على مستوى نظام التشغيل (OS) ومعالجتها في صور الحاوية. من خلال جدولة عمليات الفحص المنتظمة باستخدام Trivy وتطبيق إصلاحات الأمان باستخدام Copa، يمكنك الحفاظ على صور آمنة up-to-تاريخ في السجل الخاص بك- دون الحاجة إلى الوصول إلى التعليمات البرمجية المصدر أو إنشاء مسارات. تخصيص الجدول الزمني والصور المستهدفة بحرية للحفاظ على بيئة Azure Container Registry (ACR) آمنة ومتوافقة

استخدام الحالات

فيما يلي بعض السيناريوهات لاستخدام التصحيح المستمر:

  • فرض أمن الحاويات ونظافة الحاويات: يتيح التصحيح المستمر للمستخدمين إصلاح CVEs لحاوية نظام التشغيل بسرعة (نقاط الضعف والتعرض الشائعة) دون الحاجة إلى إعادة البناء بالكامل من المصدر.
  • سرعة الاستخدام: يزيل التصحيح المستمر التبعية على التحديثات الأولية لصور معينة عن طريق تحديث الحزم تلقائيا. يمكن أن تظهر الثغرات الأمنية كل يوم، بينما قد يقدم ناشرو الصور الشائعون إصدارا جديدا مرة واحدة في الشهر فقط. مع التصحيح المستمر، يمكنك التأكد من تصحيح صور الحاوية داخل السجل الخاص بك بمجرد اكتشاف أحدث مجموعة من ثغرات نظام التشغيل.

التسعير

يعمل التصحيح المستمر ضمن نموذج استهلاك. يستخدم كل تصحيح موارد الحوسبة، والتي يتم تحصيلها وفقا للتسعير الافتراضي لمهمة ACR بقيمة 0.0001 دولار/ثانية من المهمة قيد التشغيل. تم العثور على مزيد من المعلومات ضمن صفحة تسعير ACR.

قيود المعاينة

التصحيح المستمر قيد المعاينة العامة حاليا. تُطبق القيود التالية:

  • صور الحاوية المستندة إلى Windows غير مدعومة.
  • سيتم تصحيح الثغرات الأمنية "على مستوى نظام التشغيل" التي تنشأ من حزم النظام فقط. يتضمن ذلك حزم النظام في صورة الحاوية التي يديرها مدير حزمة نظام التشغيل مثل "apt" و"yum". لا يمكن تصحيح نقاط الضعف التي تنشأ من حزم التطبيقات، مثل الحزم المستخدمة من قبل لغات البرمجة مثل Go وPython وNodeJS.
  • لا يدعم التصحيح المستمر صور نهاية عمر الخدمة (EOSL). تشير صور EOSL إلى الصور التي لم يعد فيها نظام التشغيل الأساسي يقدم التحديثات وتصحيحات الأمان والدعم التقني. تتضمن الأمثلة الصور استنادا إلى إصدارات نظام التشغيل القديمة مثل Debian 8 وFedora 28. يتم تخطي صور EOSL من التصحيح على الرغم من وجود نقاط ضعف - النهج الموصى به هو ترقية نظام التشغيل الأساسي لصورتك إلى إصدار مدعوم.
  • لن يتم دعم الصور متعددة الأقواس.
  • يتم فرض حد 100 صورة للتصحيح المستمر
  • التصحيح المستمر غير متوافق مع السجلات الممكنة ل ABAC (التحكم في الوصول المستند إلى السمة) ومع المستودعات مع تمكين قواعد PTC (السحب من خلال ذاكرة التخزين المؤقت).
  • لا يتم دعم اشتراكات Azure على "الإصدار التجريبي المجاني" باستخدام الاعتمادات المجانية نظرا لأن حسابات الإصدار التجريبي المجانية تفتقر إلى الوصول إلى مهمة ACR.

المفاهيم الرئيسية

نظرا لأن التصحيح المستمر في ACR ينشئ صورة جديدة لكل تصحيح، يعتمد ACR على اصطلاح علامة لإصدار الصور المصححة وتحديدها. النهجان الرئيسيان هما التزايدي والعائم.

وضع علامات تزايدية

كيف يعمل:

كل تصحيح جديد زيادة لاحقة رقمية (على سبيل المثال، ، -1-2، وما إلى ذلك) على العلامة الأصلية. على سبيل المثال، إذا كانت الصورة الأساسية python:3.11، فإن التصحيح الأول ينشئ python:3.11-1، وينشئ تصحيح ثان على نفس العلامة python:3.11-2الأساسية .

قواعد اللاحقة الخاصة:

  • -1 إلى -999: تعتبر هذه علامات التصحيح.
  • -x حيث x > 999: لا يتم تفسيرها على أنها علامات تصحيح؛ بدلا من ذلك، يتم التعامل مع اللاحقة بأكملها كجزء من العلامة الأصلية. (مثال: ubuntu:jammy-20240530 يعتبر علامة أصلية، وليس علامة مصححة.) وهذا يعني أنه إذا قمت بدفع علامة جديدة تنتهي -1-999 بالصدفة، فإن التصحيح المستمر سيعاملها كصورة مصححة. نوصيك بتجنب دفع العلامات التي تريد تصحيحها باللاحقة -1 إلى -999. إذا -999 تم الوصول إلى إصدارات صورة مصححة، فسيرجع التصحيح المستمر خطأ.

وضع علامات عائمة

كيفية عملها:

ستشير علامة واحدة قابلة للتغيير، -patchedدائما إلى أحدث إصدار مصحح من صورتك. على سبيل المثال، إذا كانت علامة الصورة الأساسية الخاصة بك هي python:3.11، فإن التصحيح الأول ينشئ python:3.11-patched. مع كل تصحيح لاحق، سيتم تحديث العلامة -patched تلقائيا للإشارة إلى أحدث إصدار مصحح.

رسم تخطيطي يوضح مفاهيم كيفية عمل التصحيح المستمر باستخدام العلامات.

ما الذي يجب أن أستخدمه؟

تزايدي (افتراضي): رائع للبيئات التي تكون فيها إمكانية التدقيق والتراجع أمرا بالغ الأهمية، حيث يتم تحديد كل تصحيح جديد بوضوح بعلامة فريدة.

العائمة: مثالي إذا كنت تفضل مؤشرا واحدا على أحدث تصحيح لتدفقات CI/CD. يقلل من التعقيد عن طريق إزالة الحاجة إلى تحديث المراجع في تطبيقات انتقال البيانات من الخادم لكل تصحيح، ولكنه يضحي بإصدار صارم، ما يجعل من الصعب التراجع.

الخطوات التالية

إعداد التصحيح المستمر

  • Last updated on