轩辕镜像 官方专业版
轩辕镜像
专业版
轩辕镜像 官方专业版
轩辕镜像
专业版
首页个人中心搜索镜像
交易
充值流量¥7起我的订单
文档
工具
提交工单页面收录
container-auto-scan

lacework/container-auto-scan

lacework

为Lacework账户/组织中活跃的容器触发漏洞评估,简化容器漏洞扫描流程,支持平台扫描和Inline Scanner,可配置扫描周期和缓存策略。

下载次数: 0状态:社区镜像维护者:lacework仓库类型:镜像最近更新:3 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可:

请先完整阅读并严格遵守以下文档中的全部规则与要求:

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。

中文简介
下载命令
镜像标签列表与下载命令
轩辕镜像,不浪费每一次拉取。
点击查看

container-auto-scan Docker镜像文档

镜像概述和主要用途

container-auto-scan镜像旨在简化Lacework账户/组织中活跃容器的漏洞评估流程。通过该镜像,用户可自动触发对环境中近期活跃容器的漏洞扫描,支持Lacework平台扫描和Inline Scanner两种模式,适用于已集成容器注册表和未集成注册表的场景,帮助用户及时发现容器安全风险。

核心功能和特性

  • 智能扫描缓存:默认跳过24小时内已扫描的容器,可通过--rescan强制重新扫描
  • 多注册表支持:自动枚举所有集成的容器注册表,也可通过--registry指定特定注册表
  • 灵活时间范围:默认扫描过去1天内活跃的容器,可通过--days或--hours调整回溯周期
  • 双扫描模式:支持Lacework平台扫描(适用于已集成注册表)和Inline Scanner(适用于未集成注册表或公开镜像)
  • 组织级扫描:通过--org-level参数可遍历组织内所有账户执行扫描
  • 守护进程模式:使用-d参数可作为守护进程每20分钟执行一次扫描
  • 自动集成管理:--auto-integrate-inline-scanner可自动创建/复用Inline Scanner集成

使用场景和适用范围

  • 定期扫描生产环境中活跃容器的漏洞
  • 评估未集成到Lacework的容器注册表中的镜像安全状况
  • 扫描公开可访问的容器镜像漏洞
  • 在Kubernetes集群中持续运行容器安全扫描任务
  • 组织级容器安全合规检查

详细使用方法和配置说明

本地执行

使用Docker容器运行

最简单的方式是通过Docker容器运行,利用Lacework CLI配置文件提供API凭证:

bash
docker run -v ~/.lacework.toml:/home/user/.lacework.toml docker.xuanyuan.run/lacework/container-auto-scan

上述命令会将本地Lacework CLI配置文件挂载到容器中,使用默认配置文件中的默认配置文件执行扫描。可通过-p <profile>参数指定不同的配置文件:

bash
docker run -v ~/.lacework.toml:/home/user/.lacework.toml docker.xuanyuan.run/lacework/container-auto-scan -p my-profile

也可直接通过参数提供凭证:

bash
docker run docker.xuanyuan.run/lacework/container-auto-scan --account my-account --api-key MY_KEY --api-secret MY_SECRET

从源码运行

若克隆了项目仓库,可直接运行Python脚本:

bash
usage: ./auto-scan.py [-h] [--account ACCOUNT] [--subaccount SUBACCOUNT] [--api-key API_KEY] [--api-secret API_SECRET] [-p PROFILE] [--proxy-scanner PROXY_SCANNER] [--cache-timeout] [--days DAYS] [--hours HOURS] [--registry REGISTRY] [--rescan] [--list-only] [--inline-scanner] [--inline-scanner-path INLINE_SCANNER_PATH] [--inline-scanner-access-token INLINE_SCANNER_ACCESS_TOKEN] [--inline-scanner-only] [--inline-scanner-prune] [-d] [--debug]

Inline Scanner扫描

版本0.3及以上支持使用Lacework Inline Scanner评估容器,适用于未集成到Lacework的容器注册表或公开镜像。需使用container-auto-scan-inline镜像,该镜像支持Docker-in-Docker,以root用户运行。

基本用法

bash
docker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock docker.xuanyuan.run/lacework/container-auto-scan-inline --inline-scanner-access-token <SCANNER_ACCESS_TOKEN_HERE>

仅使用Inline Scanner

bash
docker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock docker.xuanyuan.run/lacework/container-auto-scan-inline --inline-scanner-only --inline-scanner-access-token <SCANNER_ACCESS_TOKEN_HERE>

Inline Scanner自动集成

版本0.5及以上支持自动管理Inline Scanner集成及访问令牌,使用--auto-integrate-inline-scanner参数:

bash
docker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock docker.xuanyuan.run/lacework/container-auto-scan-inline --org-level --auto-integrate-inline-scanner

注意事项

  • Inline Scanner专用镜像名为container-auto-scan-inline
  • 该镜像以root用户运行,Lacework配置文件需挂载到/root/目录
  • 访问令牌可通过--inline-scanner-access-token参数、LW_ACCESS_TOKEN环境变量或--auto-integrate-inline-scanner自动生成
  • Inline Scanner当前限制为每小时60次扫描
  • 若扫描远程 registry 中的镜像,可挂载Docker凭证:-v /root/.docker/config.json:/root/.docker/config.json

Kubernetes部署

如需持续运行,可使用Kubernetes Deployment。示例manifest位于项目的manifests/目录,将Lacework API凭证存储为Kubernetes Secret,并以守护进程模式运行:

yaml
# 示例Kubernetes部署配置(详细内容请参考项目manifests目录)
apiVersion: apps/v1
kind: Deployment
metadata:
  name: container-auto-scan
spec:
  replicas: 1
  selector:
    matchLabels:
      app: container-auto-scan
  template:
    metadata:
      labels:
        app: container-auto-scan
    spec:
      containers:
      - name: container-auto-scan
        image: docker.xuanyuan.run/lacework/container-auto-scan-inline
        args: ["-d", "--auto-integrate-inline-scanner"]
        volumeMounts:
        - name: docker-sock
          mountPath: /var/run/docker.sock
        - name: lacework-config
          mountPath: /root/.lacework.toml
          subPath: lacework.toml
      volumes:
      - name: docker-sock
        hostPath:
          path: /var/run/docker.sock
      - name: lacework-config
        secret:
          secretName: lacework-credentials

参数说明

短参数长参数默认值说明
-h--help显示帮助信息并退出
--accountNoneLacework账户名
--subaccountNoneLacework子账户名
--api-keyNoneLacework API密钥
--api-secretNoneLacework API密钥密钥
-p--profileNoneLacework CLI配置文件
--proxy-scannerNoneLacework代理扫描器地址:http(s)://[address]:[port]
--cache-timeout24扫描结果缓存小时数,超时后重新扫描
--daysNone搜索活跃容器的天数
--hours0搜索活跃容器的小时数
--registryNone要扫描的容器注册表域名(逗号分隔)
--rescan对已扫描过的容器重新发起扫描请求
--list-only仅列出集成/指定注册表中的活跃容器(不执行扫描)
--auto-integrate-inline-scanner自动创建和复用Inline Scanner集成
--inline-scannerNone使用本地Inline Scanner评估镜像,而非Lacework平台(无论注册表是否集成,都会尝试扫描)
--inline-scanner-pathNoneInline Scanner可执行文件路径(默认:lw-scanner需在PATH中)
--inline-scanner-access-tokenNoneInline Scanner认证令牌(生产环境建议使用--inline-scanner参数配合LW_ACCESS_TOKEN环境变量)
--inline-scanner-only仅使用Inline Scanner(默认:平台扫描为主,未配置注册表的容器使用Inline Scanner)
--inline-scanner-prune扫描完成后,从本地Docker注册表中清理镜像(相当于docker rmi)
--org-level遍历组织中的每个账户(仅平台扫描支持)
-d--daemon以守护进程模式运行(每20分钟执行一次)
--debug启用调试日志

环境变量

Lacework API

环境变量描述是否必填
LW_PROFILELacework CLI配置文件(配置于~/.lacework.toml)否
LW_ACCOUNTLacework账户/组织域名(如<account>.lacework.net)否
LW_SUBACCOUNTLacework子账户否
LW_API_KEYLacework API访问密钥否
LW_API_SECRETLacework API访问密钥密钥否

Lacework Inline Scanner

环境变量描述是否必填
LW_ACCESS_TOKENLacework Inline Scanner认证令牌否

已知问题

  • 受Lacework API限制,每小时最多可扫描400个容器
  • 受Lacework API限制,最多返回5000个已扫描容器镜像(用于去重)
  • 受Lacework API限制,每个注册表最多返回5000个容器仓库/标签组合

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。

轩辕镜像加速拉取命令点我查看更多 container-auto-scan 镜像标签

docker pull docker.xuanyuan.run/lacework/container-auto-scan:<标签>

使用方法:

  • 登录认证方式
  • 免认证方式

DockerHub 原生拉取命令

docker pull lacework/container-auto-scan:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

一键安装

一键安装 Docker

Linux Docker 一键安装

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Apple Container

macOS 原生容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

Unraid

Unraid NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单

镜像拉取常见问题

功能

版本功能对比

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

登录 · 专属域名 · 配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 专业版 · 企业版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest(架构)

账号

失败是否计费

manifest · blob · 计费

申请开发票(企业 / 个人)

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈,见证轩辕镜像的优质服务

用户头像

oldzhang

运维工程师

Linux服务器

5

"Docker访问体验非常流畅,大镜像也能快速完成下载。"

轩辕镜像
镜像详情
...
lacework/container-auto-scan
定价查看流量套餐与价格
博客Docker 镜像公告与技术博客
专业版 · 高速稳定拉取镜像
高速镜像下载·在线技术支持·99.95% SLA 保障·付费会员免广告
50GB 仅 ¥7/年
专业版 · 高速稳定拉取镜像
50GB 仅 ¥7/年
高速镜像下载·在线技术支持·99.95% SLA 保障·付费会员免广告
用户协议·隐私政策·增值电信业务经营许可证:浙B2-20261007·©2024-2026 源码跳动©2024-2026 杭州源码跳动科技有限公司·商务合作:点击复制邮箱

更多 container-auto-scan 镜像推荐

alannix/container-auto-scan logo

alannix/container-auto-scan

alannix
该Docker镜像已废弃,不再维护。请使用lacework/container-auto-scan作为容器自动扫描工具的新镜像。
1万+ 次下载
3 年前更新
lacework/container-auto-scan-inline logo

lacework/container-auto-scan-inline

lacework
为Lacework账户/组织中活跃的容器触发漏洞评估,支持平台扫描和Inline Scanner,可自动管理扫描缓存、枚举容器仓库并根据回溯期筛选活跃容器,简化容器安全检测流程。
5万+ 次下载
3 年前更新
sonarsource/sonar-scanner-cli logo

sonarsource/sonar-scanner-cli

sonarsource
用于SonarQube和SonarCloud的SonarScanner CLI
111 次收藏1亿+ 次下载
1 个月前更新
temporalio/auto-setup logo

temporalio/auto-setup

temporalio
工作流即代码(Workflow as Code,TM)是一种将应用构建与运维流程通过代码化方式定义、管理和执行的方法,旨在提升应用的可靠性、可恢复性与持续运行能力,支持开发与运维团队高效协作,实现从构建到运维的全生命周期自动化,确保应用在复杂场景及潜在故障下仍能稳定运行,从而帮助用户构建并运维具备强大韧性的应用系统。
6 次收藏1000万+ 次下载
27 天前更新
rancher/security-scan logo

rancher/security-scan

rancher
暂无描述
5 次收藏1000万+ 次下载
2 天前更新
autopas/autopas-build-gcc logo

autopas/autopas-build-gcc

autopas
提供多种用于AutoPas库的Dockerfile,按构建任务分类(如不同编译器、代码覆盖率、文档生成等),支持无需依赖构建和测试。
1 次收藏1万+ 次下载
7 个月前更新

查看更多 container-auto-scan 相关镜像