Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Fitur Patching Berkelanjutan Azure Container Registry mengotomatiskan deteksi dan remediasi kerentanan tingkat sistem operasi (OS) dalam gambar kontainer. Dengan menjadwalkan pemindaian reguler dengan Trivy dan menerapkan perbaikan keamanan menggunakan Copa, Anda dapat mempertahankan gambar aman, up-to-tanggal di registri Anda—tanpa memerlukan akses ke kode sumber atau alur build. Bebas menyesuaikan jadwal dan menargetkan gambar untuk menjaga lingkungan Azure Container Registry (ACR) Anda tetap aman dan sesuai
Kasus Penggunaan
Berikut adalah beberapa skenario untuk menggunakan Patching Berkelanjutan:
- Menegakkan keamanan dan kebersihan kontainer: Patching Berkelanjutan memungkinkan pengguna untuk dengan cepat memperbaiki CVE kontainer OS (Kerentanan Umum dan Eksposur) tanpa perlu mengulang pembangunan sepenuhnya dari hulu.
- Kecepatan Penggunaan: Patching Berkelanjutan menghapus ketergantungan pada pembaruan hulu untuk gambar tertentu dengan memperbarui paket secara otomatis. Kerentanan dapat muncul setiap hari, sementara penerbit gambar populer mungkin hanya menawarkan rilis baru sebulan sekali. Dengan patching berkelanjutan, Anda dapat memastikan bahwa gambar kontainer dalam registri Anda di-patch segera setelah serangkaian kerentanan OS terbaru terdeteksi.
Penetapan Harga
Patching Berkelanjutan beroperasi di bawah model konsumsi. Setiap patch menggunakan sumber daya komputasi, yang dikenakan biaya sesuai harga default *ACR Task* sebesar $0.0001/detik untuk tugas berjalan. Informasi selengkapnya ditemukan di bawah halaman harga ACR.
Batasan Pratinjau
Saat ini, Patching Berkelanjutan sedang dalam pratinjau publik. Batasan berikut berlaku:
- Gambar kontainer berbasis Windows tidak didukung.
- Hanya kerentanan "tingkat OS" yang berasal dari paket sistem yang akan di-patch. Ini termasuk paket sistem dalam gambar kontainer yang dikelola oleh manajer paket OS seperti "apt" dan "yum". Kerentanan yang berasal dari paket aplikasi, seperti paket yang digunakan oleh bahasa pemrograman seperti Go, Python, dan NodeJS tidak dapat di-patch.
- Gambar End of Service Life (EOSL) tidak didukung oleh Patching Berkelanjutan. Gambar EOSL mengacu pada gambar di mana sistem operasi yang mendasar tidak lagi menawarkan pembaruan, patch keamanan, dan dukungan teknis. Contohnya termasuk gambar berdasarkan versi sistem operasi yang lebih lama seperti Debian 8 dan Fedora 28. Gambar End of Service Life (EOSL) tidak termasuk dalam patch meskipun memiliki kerentanan - pendekatan yang disarankan adalah meningkatkan sistem operasi yang digunakan oleh gambar Anda ke versi yang didukung.
- Gambar multi-arch tidak akan didukung.
- Batas 100 gambar diberlakukan untuk penambalan berkelanjutan
- Patching Berkelanjutan tidak kompatibel dengan registri yang diaktifkan ABAC (Kontrol Akses Berbasis Atribut) dan dengan repositori dengan aturan PTC (Pull Through Cache) diaktifkan.
- Langganan Azure pada "Uji Coba Gratis" menggunakan kredit gratis tidak didukung karena akun uji coba gratis tidak memiliki akses Tugas ACR.
Konsep utama
Karena patching berkelanjutan di ACR membuat gambar baru per patch, ACR bergantung pada konvensi tag untuk membuat versi dan mengidentifikasi gambar yang di-patch. Dua pendekatan utama adalah bertahap dan mengambang.
Pemberian Tag Bertahap
Cara Kerjanya:
Setiap patch baru menaikkan akhiran numerik (misalnya, -1, -2, dll.) pada tag asli. Misalnya, jika gambar dasar adalah python:3.11, patch pertama membuat python:3.11-1, dan patch kedua pada tag dasar yang sama membuat python:3.11-2.
Aturan Akhiran Khusus:
-
-1ke-999: Ini dianggap sebagai tag patch. -
-xdi manax > 999: Ini tidak ditafsirkan sebagai tag patch; sehingga seluruh akhiran diperlakukan sebagai bagian dari tag asli. (Contoh:ubuntu:jammy-20240530dianggap sebagai tag asli, bukan yang di-patch.) Ini berarti jika Anda secara tidak sengaja mendorong tag baru yang berakhir dengan-1ke-999, Patching Berkelanjutan akan memperlakukannya seperti gambar yang di-patch. Kami menyarankan Anda untuk menghindari pendorongan tag yang ingin Anda patch dengan akhiran-1ke-999. Jika versi-999dari citra yang telah ditambal terkena, Penambalan Berkelanjutan akan mengembalikan kesalahan.
Penandaan Mengambang
Cara kerjanya:
Satu tag yang dapat diubah, -patched, akan selalu mereferensikan versi patch terbaru gambar Anda. Misalnya, jika tag gambar dasar Anda adalah python:3.11, patch pertama membuat python:3.11-patched. Dengan setiap patch berikutnya, -patched tag akan secara otomatis diperbarui untuk menunjuk ke versi patch terbaru.
Mana yang harus saya gunakan?
Inkremental (default): Cocok untuk lingkungan di mana auditabilitas dan putar kembali sangat penting, karena setiap patch baru diidentifikasi dengan jelas dengan tag unik.
Mengambang: Ideal jika Anda lebih suka satu penunjuk ke patch terbaru untuk alur CI/CD Anda. Mengurangi kompleksitas dengan menghapus kebutuhan untuk memperbarui referensi dalam aplikasi hilir per patch, tetapi mengorbankan penerapan versi yang ketat, sehingga sulit untuk digulung balik.