anchore engine

重要なメモ

2023年の時点で、Anchoreエンジンは維持されなくなりました。将来のバージョンはリリースされません。ユーザーは、SyftとGrypeを使用することをお勧めします。

コンテナスキャンとコンプライアンスのサポートされている商用ソリューションに関心のあるユーザー向けに、SBOM管理、脆弱性管理、コンプライアンス管理など、Anchore Enterpriseの幅広いエンタープライズ機能セットを表示するデモをスケジュールします。

について

Anchore Engineは、コンテナ画像の検査、分析、認定のための集中サービスを提供するオープンソースプロジェクトです。 Anchoreエンジンは、スタンドアロン、またはKubernetes、Docker Swarm、Rancher、Amazon ECS、その他のコンテナオーケストレーションプラットフォームなどのオーケストレーションプラットフォーム内で実行できるDockerコンテナ画像として提供されます。

環境で実行されているAnchoreエンジンの展開により、コンテナ画像がダウンロードされ、Docker V2互換コンテナレジストリから分析され、脆弱性データベースに対して評価されます。

履歴ドキュメントは、Anchoreドキュメントで入手できます。

Anchoreエンジンは、Restful APIまたはAnchore CLIを介して直接アクセスできます。

サポートされているオペレーティングシステム

• 高山
• Amazon Linux 2
• セントス
• デビアン
• Googleがディストリビューション
• Oracle Linux
• Red Hat Enterprise Linux
• レッドハットユニバーサルベースイメージ（UBI）
• ubuntu

サポートされているパッケージ

• 宝石
• Java Archive（jar、war、耳）
• npm
• python（pip）
• モジュールに移動します

Anchore Engineを始めるには、Docker-Compose、Helm、その他の方法を使用したクイックスタートおよびフルプロダクションインストールに関する最新情報のために、次をご覧ください。

• Anchoreエンジンのインストール

Anchoreエンジンは、DockerHubから入手可能なDocker画像として分散されています。

完全なQuickStartガイドのドキュメントを参照してください。

Docker（およびDocker-Compose）がインストールされているシステムにAnchoreエンジンのインストールをすばやく表示するには、次の簡単な手順に従ってください。

 curl https://engine.anchore.io/docs/quickstart/docker-compose.yaml > docker-compose.yaml
docker-compose up -d

エンジンが稼働したら、CLIを使用してシステムと対話し始めることができます。

Anchore CLIは、Anchoreエンジンを制御して対話する簡単な方法です。

Anchore CLIは、Python Pipコマンドを使用して、またはAnchore Engine CLIコンテナ画像からCLIを実行してインストールできます。コードについては、GitHubのAnchore CLIプロジェクトとその他のインストールオプションと使用を参照してください。

デフォルトでは、Anchore CLIは、認証なしでhttp：// localhost：8228/v1のAnchoreエンジンに接続しようとします。サーバーのユーザー名、パスワード、およびURLは、コマンドライン引数としてAnchore CLIに渡すことができます。

 --u   TEXT   Username     eg. admin
--p   TEXT   Password     eg. foobar
--url TEXT   Service URL  eg. http://localhost:8228/v1

ツールへの呼び出しごとにこれらのパラメーターを渡すのではなく、環境変数として設定することもできます。

 ANCHORE_CLI_URL=http://myserver.example.com:8228/v1
ANCHORE_CLI_USER=admin
ANCHORE_CLI_PASS=foobar

Anchoreエンジンに画像を追加します。

 anchore-cli image add docker.io/library/debian:latest

画像が「分析された」状態に移動するのを待ちます。

 anchore-cli image wait docker.io/library/debian:latest

Anchoreエンジンによって分析された画像をリストします。

 anchore-cli image list

画像の概要と概要情報を取得します。

 anchore-cli image get docker.io/library/debian:latest

フィードをリストし、少なくとも1つの脆弱性データフィードの同期が完了するのを待ちます。最初の同期には、同期がデルタのみマージされた後に時間がかかることがあります（20〜30分）。

 anchore-cli system feeds list
anchore-cli system wait

画像上の脆弱性スキャンの結果を取得します。

 anchore-cli image vuln docker.io/library/debian:latest os

画像に存在するオペレーティングシステムパッケージをリストします。

 anchore-cli image content docker.io/library/debian:latest os

外部API定義（ユーザー向けサービス）については、外部API Swagger仕様を参照してください。 Anchore Engineが実行されている場合は、http：//：8228/v1/ui/でブラウザを指示することでSwaggerを確認することもできます（注：埋め込まれたSwagger UIブラウザーが適切に表示されるには、トレーリングスラッシュが必要です）。

各サービスは独自のAPIを実装し、すべてのAPIはSwagger/Openapi仕様で定義されています。それぞれがanchore_engine/services/<servicename>/api/swaggerディレクトリで見つけることができます。

Anchore Engineを使用したAnchore CLIの使用の詳細については、Anchoreエンジンのドキュメントを参照してください

このレポは、2020年11月にBlackを使用して再フォーマットされました。これはgit blame使用して非常に多くのファイルに影響を与えた場合、地元の環境ではこのコミットを無視できます。コミットを無視するには、Git-blameを構成するために必要なファイル：.git-blame-ignore-revsは、非難のために無視するコミットのリストとして。

このソースツリーのルート内でこれを実行して、提供されたファイルを使用するようにローカルGit構成を設定します： git config blame.ignoreRevsFile .git-blame-ignore-revs