Skip to content

Wie scannt man Container-Images in einer CI/CD-Pipeline?

Kurzantwort

Scannen Sie Images auf bekannte CVEs in OS-Paketen und App-Bibliotheken sowie auf Fehlkonfigurationen und eingebettete Secrets, sowohl zur Build-Zeit als auch fortlaufend in der Registry — weil neue CVEs auftauchen, nachdem ein Image gebaut wurde. Verwenden Sie minimale oder distroless Basis-Images, um die Angriffsfläche zu verkleinern, pinnen und referenzieren Sie Basis-Images per Digest und führen Sie den Container als Nicht-Root aus. Scannen ist notwendig, ersetzt aber nicht den Laufzeitschutz.

Ein Container-Image ist ein Stapel von Schichten — ein Basis-OS, Pakete, Bibliotheken und Ihre Anwendung — und jede Schicht kann eine Schwachstelle tragen. Image-Scanning ist die Art, wie Sie diesen Stapel ehrlich halten.

Was das Scannen findet

Ein Scanner (Trivy, Grype, Clair oder der eingebaute Scanner einer Registry) untersucht jede Schicht und meldet:

  • Bekannte CVEs in OS-Paketen (dem Basis-Image) und Anwendungsabhängigkeiten.
  • Fehlkonfigurationen — Ausführung als Root, in eine Schicht eingebackene Secrets, gefährliche Capabilities, fehlender Benutzer.
  • Eingebettete Secrets, die versehentlich in das Image kopiert wurden.

Scannen zur Build-Zeit und in der Registry

Das ist der Punkt, den Kandidaten oft übersehen. Das Scannen zur Build-Zeit in der CI liefert schnelles Feedback und kann den Build fehlschlagen lassen. Aber ein Image, das gestern sauber war, ist es nicht für immer — neue CVEs werden gegen Pakete offengelegt, die bereits darin enthalten sind. Daher scannen Sie auch fortlaufend in der Registry, sodass ein nun als verwundbar bekanntes Image gekennzeichnet (und idealerweise vom Deployment blockiert) wird, obwohl sich nichts daran geändert hat.

Die Angriffsfläche verkleinern

Die am günstigsten zu behebenden Schwachstellen sind die, die Sie nie ausliefern. Minimale oder distroless Basis-Images entfernen Shells, Paketmanager und ungenutzte Bibliotheken, sodass es schlicht weniger gibt, das verwundbar ist, und weniger, das ein Angreifer nach einer Kompromittierung nutzen kann. Pinnen Sie Basis-Images per Digest (nicht nur :latest), bauen Sie regelmäßig neu, um Patches aufzunehmen, und führen Sie als Nicht-Root-Benutzer aus.

Scannen ist nicht die Ziellinie

Image-Scanning ist statisch — es kann nicht sehen, was ein laufender Container tatsächlich tut. Kombinieren Sie es mit Laufzeitsicherheit (Admission Control, Drift-Erkennung, Verhaltensüberwachung), um das vollständige Bild zu erhalten.

Worauf Interviewer achten

Sie wollen, dass sowohl das Scannen zur Build-Zeit als auch in der Registry erklärt wird, den Instinkt für minimale Basis-Images und das Bewusstsein, dass das Scannen eines als gut bekannten Images dennoch erneut betrachtet werden muss, wenn neue CVEs auftauchen.

Wahrscheinliche Anschlussfragen

  • Warum Images in der Registry scannen, wenn Sie sie bereits zur Build-Zeit gescannt haben?
  • Wie verringern minimale oder distroless Basis-Images das Risiko?
  • Was übersieht das Image-Scanning, das die Laufzeitsicherheit erfasst?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.