我们正在使用 azure 资源图查询生成 docker 漏洞评估报告,在编写 kusto 查询生成具有漏洞的 dockerimage 列表的报告后,我们将获取有关 docker 存储库及其相应 sha/digest 值的详细信息以及其他详细信息,如下所示必需的,但我们还需要 docker 标签来获取我们无法在 azure 资源查询中获取的特定存储库/digets 值,我们还需要在报告中包含 docker 镜像标签数据 下面是我的 kql 查询:
securityresources
| where type == "microsoft.security/assessments/subassessments"
| where id has "Assesment key" and isnotnull (properties.id)
| mv-expand properties.additionalData.cve
| mv-expand properties.additionalData.data
| mv-expand properties.additionalData.vendorReferences
| project Image=properties.additionalData.repositoryName, Digest=properties.additionalData.imageDigest, Dockertag=properties.additionalData.data.***, CVE=properties_additionalData_cve
谁能告诉我们我们可以在 *** 部分中进行哪些修改或以其他方式获取该数据(图像标签)?
最佳答案
据我所知,漏洞扫描结果来自 Qualys scanner used by MS for images ,不要引用图像标签。他们通过指示存储库和图像摘要来引用图像 list 。 由于资源图似乎没有将 ACR 图像甚至图像存储库建模为资源或子资源,因此似乎无法使用资源图查询来获取此信息。此外,您可能拥有目前根本没有任何标签的图像,并且这些图像仍然可能具有可用的漏洞扫描。
MS 还在研究 their own solution ,目前似乎是 ACR 的预览版。这似乎对子评估的结构略有不同,并且似乎确实包含对 properties.additionalData.artifactDetails.tags 中的图像标签的引用。
关于azure - 在运行 Azure 资源图查询以进行图像漏洞评估时获取 docker 图像标签,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70606294/