anchore engine

Важное примечание

По состоянию на 2023 год двигатель якоря больше не поддерживается. Там не будет выпущено будущих версий. Пользователям рекомендуется использовать SYFT и Grype.

Для пользователей, заинтересованных в поддерживаемом коммерческом решении для сканирования контейнеров и соответствия, планируйте демо, чтобы увидеть широкий набор предприятий Anchore Enterprise, включая управление SBOM, управление уязвимостью и управление соответствием.

О

Anchore Engine-это проект с открытым исходным кодом, который предоставляет централизованный сервис для проверки, анализа и сертификации изображений контейнеров. Двигатель якоря предоставляется в виде изображения контейнера Docker, который может быть запускается автономным или внутри оркестровки, такой как Kubernetes, Docker Swarm, Rancher, Amazon ECS и другие платформы оркестровки контейнеров.

С развертыванием двигателя якоря, работающего в вашей среде, контейнерные изображения загружаются и анализируются с помощью Docker V2 -контейнеров, а затем оцениваются по базе данных уязвимости.

Историческая документация доступна в документации Anchore.

Двигатель якоря может быть доступен непосредственно через API RESTful или через Anchore CLI.

Поддерживаемые операционные системы

• Альпийский
• Amazon Linux 2
• Тепло
• Дебюн
• Google Distroless
• Oracle Linux
• Red Hat Enterprise Linux
• Red Hat Universal Base Image (UBI)
• Ubuntu

Поддерживаемые пакеты

• Жемчужина
• Java Archive (Jar, War, Ear)
• Npm
• Python (PIP)
• Иди модули

Есть несколько способов начать работу с двигателем Anchore, для последней информации о QuickStart и полной производственной установке с Docker-Compose, Helm и другими методами, пожалуйста, посетите:

• Установка якоря

Двигатель якоря распространяется как изображение Docker, доступное от Dockerhub.

См. Документацию для полного руководства QuickStart.

Чтобы быстро поднять установку якоря двигателя на систему с установленным докером (и докером), выполните эти простые шаги:

 curl https://engine.anchore.io/docs/quickstart/docker-compose.yaml > docker-compose.yaml
docker-compose up -d

Как только двигатель будет запущен и запускается, вы можете начать взаимодействовать с системой, используя CLI.

Anchore CLI - это простой способ контролировать и взаимодействовать с двигателем якоря.

CLI анкер может быть установлен с использованием команды Python PIP или запустив CLI из контейнера CLI двигателя якоря. См. Проект Anchore CLI на GitHub для кода и дополнительных параметров установки и использования.

По умолчанию CLI якоря пытается подключиться к двигателю якоря по адресу http: // localhost: 8228/v1 без аутентификации. Имя пользователя, пароль и URL-адрес для сервера могут быть переданы в CLI Anchore в качестве аргументов командной строки:

 --u   TEXT   Username     eg. admin
--p   TEXT   Password     eg. foobar
--url TEXT   Service URL  eg. http://localhost:8228/v1

Вместо того, чтобы передавать эти параметры для каждого вызова в инструмент, они также могут быть установлены в качестве переменных среды:

 ANCHORE_CLI_URL=http://myserver.example.com:8228/v1
ANCHORE_CLI_USER=admin
ANCHORE_CLI_PASS=foobar

Добавьте изображение в двигатель якоря:

 anchore-cli image add docker.io/library/debian:latest

Подождите, пока изображение перейдет в «проанализированное» состояние:

 anchore-cli image wait docker.io/library/debian:latest

Перечислите изображения, проанализированные двигателем Anchore:

 anchore-cli image list

Получите обзор изображения и сводную информацию:

 anchore-cli image get docker.io/library/debian:latest

Перечислите каналы и дождите хотя бы одного синхронизации подачи данных уязвимости. Первая синхронизация может занять некоторое время (20-30 минут) после того, как синхронизации будут только объединять Deltas.

 anchore-cli system feeds list
anchore-cli system wait

Получите результаты сканирования уязвимости на изображении:

 anchore-cli image vuln docker.io/library/debian:latest os

Список пакетов операционной системы, представленные на изображении:

 anchore-cli image content docker.io/library/debian:latest os

Для внешнего определения API (сервис, ориентированная на пользователь), см. Внешний API Swagger Spec. Если у вас работает двигатель якоря, вы также можете просмотреть Swagger, направив свой браузер по адресу http: //: 8228/v1/ui/(Примечание: для правильного просмотра встроенного браузера UI Swagger требуется след, чтобы быть встроенным браузером UI Swagger).

Каждая служба реализует свой собственный API, и все API определяются в спецификации Swagger/OpenAPI. Вы можете найти каждый в каталоге Anchore_Engine/Services/<ServiceName>/API/Swagger .

Для получения дополнительной информации об использовании CLI анкеры с помощью двигателя якоря, пожалуйста, обратитесь к документации двигателя якоря

Это репо было переформатировано с использованием Black в ноябре 2020 года. Этот коммит может быть проигнорирован в вашей локальной среде при использовании git blame поскольку он повлиял на столько файлов. Чтобы игнорировать коммит, вам необходимо настроить Git-Blame, чтобы использовать предоставленный файл: .git-blame-inignore-revs в качестве списка коммитов, чтобы игнорировать вину.

Установите локальную конфигурацию GIT для использования предоставленного файла, выполнив его из корня этого дерева источника: git config blame.ignoreRevsFile .git-blame-ignore-revs