anchore engine

Nota importante

A partir de 2023, o motor ancorador não é mais mantido. Não haverá versões futuras lançadas. Os usuários são aconselhados a usar o Syft e o Grey.

Para os usuários interessados ​​em uma solução comercial suportada para digitalização e conformidade de contêineres, agende uma demonstração para ver o amplo conjunto de recursos empresariais da Anchore Enterprise, incluindo gerenciamento da SBOM, gerenciamento de vulnerabilidades e gerenciamento de conformidade.

Sobre

O Anchore Engine é um projeto de código aberto que fornece um serviço centralizado para inspeção, análise e certificação de imagens de contêineres. O motor ancorador é fornecido como uma imagem de contêiner do docker que pode ser executada independente ou dentro de uma plataforma de orquestração, como Kubernetes, Swarm Docker, Rancher, Amazon ECS e outras plataformas de orquestração de contêineres.

Com uma implantação de mecanismo de ancore em execução em seu ambiente, as imagens de contêiner são baixadas e analisadas nos registros de contêineres compatíveis com Docker V2 e depois avaliados em relação a um banco de dados de vulnerabilidade.

A documentação histórica está disponível na documentação ancorada.

O motor âncora pode ser acessado diretamente através de uma API RESTful ou através da CLI ancorada.

Sistemas operacionais suportados

• Alpino
• Amazon Linux 2
• CENTOS
• Debian
• Google Distroless
• Oracle Linux
• Red Hat Enterprise Linux
• Red Hat Universal Base Image (UBI)
• Ubuntu

Pacotes suportados

• JÓIA
• Arquivo Java (jarra, guerra, orelha)
• Npm
• Python (pip)
• Vá módulos

Existem várias maneiras de começar com o mecanismo de ancoragem, para obter as informações mais recentes sobre o QuickStart e a instalação completa da produção com o Docker-Compose, Helm e outros métodos, visite:

• Ancore a instalação do motor

O motor âncora é distribuído como uma imagem do Docker disponível no DockerHub.

Consulte a documentação para o guia completo do QuickStart.

Para criar rapidamente uma instalação do motor ancorador em um sistema com o Docker (e o Docker-Comppose) instalado, siga estas etapas simples:

 curl https://engine.anchore.io/docs/quickstart/docker-compose.yaml > docker-compose.yaml
docker-compose up -d

Depois que o motor estiver em funcionamento, você pode começar a interagir com o sistema usando a CLI.

A CLI ancora é uma maneira fácil de controlar e interagir com o motor ancorador.

A CLI da ancore pode ser instalada usando o comando python pip ou executando a CLI na imagem do contêiner de CLI do motor ancore. Consulte o projeto da CLI Anchore no Github para obter o código e mais opções de instalação e uso.

Por padrão, a CLI da Anchore tenta se conectar ao motor ancorador em http: // localhost: 8228/v1 sem autenticação. O nome de usuário, a senha e a URL do servidor podem ser passados ​​para a CLI da Anchore como argumentos da linha de comando:

 --u   TEXT   Username     eg. admin
--p   TEXT   Password     eg. foobar
--url TEXT   Service URL  eg. http://localhost:8228/v1

Em vez de passar esses parâmetros para cada chamada para a ferramenta, eles também podem ser definidos como variáveis ​​de ambiente:

 ANCHORE_CLI_URL=http://myserver.example.com:8228/v1
ANCHORE_CLI_USER=admin
ANCHORE_CLI_PASS=foobar

Adicione uma imagem ao mecanismo de ancoragem:

 anchore-cli image add docker.io/library/debian:latest

Aguarde a imagem se mover para o estado 'analisado':

 anchore-cli image wait docker.io/library/debian:latest

Lista imagens analisadas pelo mecanismo de ancore:

 anchore-cli image list

Obtenha a visão geral da imagem e as informações de resumo:

 anchore-cli image get docker.io/library/debian:latest

A lista alimenta e aguarde a conclusão de pelo menos um feed de dados de vulnerabilidades. A primeira sincronização pode levar algum tempo (20 a 30 minutos) após isso sincronizar apenas mesclar deltas.

 anchore-cli system feeds list
anchore-cli system wait

Obtenha os resultados da varredura de vulnerabilidade em uma imagem:

 anchore-cli image vuln docker.io/library/debian:latest os

Listar pacotes de sistemas operacionais presentes em uma imagem:

 anchore-cli image content docker.io/library/debian:latest os

Para a definição externa da API (o serviço de uso de usuário), consulte especificações externas da API Swagger. Se você estiver em execução de motor ancorada, também pode revisar a arrogância direcionando seu navegador em http: //: 8228/v1/ui/(Nota: a barra de arrasto é necessária para que o navegador de interface do usuário incorporado seja visualizado corretamente).

Cada serviço implementa sua própria API e todas as APIs são definidas nas especificações Swagger/OpenAPI. Você pode encontrar cada um no diretório Anchore_engine/Services/<Verticename>/API/Swagger .

Para mais detalhes sobre o uso da CLI ancora com o mecanismo de âncora, consulte a documentação do mecanismo de ancoragem

Esse repositório foi reformatado usando o preto em novembro de 2020. Esse compromisso pode ser ignorado em seu ambiente local ao usar git blame pois impactou tantos arquivos. Para ignorar a confirmação, você precisa configurar o Git-Blame para usar o arquivo fornecido: .git-Blame-Ignore-Revs como uma lista de compromissos a ignorar a culpa.

Defina sua configuração Git local para usar o arquivo fornecido executando-o de dentro da raiz desta árvore de origem: git config blame.ignoreRevsFile .git-blame-ignore-revs