热门搜索:
lacework/container-auto-scan
lacework
为Lacework账户/组织中活跃的容器触发漏洞评估,简化容器漏洞扫描流程,支持平台扫描和Inline Scanner,可配置扫描周期和缓存策略。
下载次数: 0状态:社区镜像维护者:lacework仓库类型:镜像最近更新:3 年前
container-auto-scan Docker镜像文档
镜像概述和主要用途
container-auto-scan镜像旨在简化Lacework账户/组织中活跃容器的漏洞评估流程。通过该镜像,用户可自动触发对环境中近期活跃容器的漏洞扫描,支持Lacework平台扫描和Inline Scanner两种模式,适用于已集成容器注册表和未集成注册表的场景,帮助用户及时发现容器安全风险。
核心功能和特性
- 智能扫描缓存:默认跳过24小时内已扫描的容器,可通过
--rescan强制重新扫描 - 多注册表支持:自动枚举所有集成的容器注册表,也可通过
--registry指定特定注册表 - 灵活时间范围:默认扫描过去1天内活跃的容器,可通过
--days或--hours调整回溯周期 - 双扫描模式:支持Lacework平台扫描(适用于已集成注册表)和Inline Scanner(适用于未集成注册表或公开镜像)
- 组织级扫描:通过
--org-level参数可遍历组织内所有账户执行扫描 - 守护进程模式:使用
-d参数可作为守护进程每20分钟执行一次扫描 - 自动集成管理:
--auto-integrate-inline-scanner可自动创建/复用Inline Scanner集成
使用场景和适用范围
- 定期扫描生产环境中活跃容器的漏洞
- 评估未集成到Lacework的容器注册表中的镜像安全状况
- 扫描公开可访问的容器镜像漏洞
- 在Kubernetes集群中持续运行容器安全扫描任务
- 组织级容器安全合规检查
详细使用方法和配置说明
本地执行
使用Docker容器运行
最简单的方式是通过Docker容器运行,利用Lacework CLI配置文件提供API凭证:
bashdocker run -v ~/.lacework.toml:/home/user/.lacework.toml lacework/container-auto-scan
上述命令会将本地Lacework CLI配置文件挂载到容器中,使用默认配置文件中的默认配置文件执行扫描。可通过-p <profile>参数指定不同的配置文件:
bashdocker run -v ~/.lacework.toml:/home/user/.lacework.toml lacework/container-auto-scan -p my-profile
也可直接通过参数提供凭证:
bashdocker run lacework/container-auto-scan --account my-account --api-key MY_KEY --api-secret MY_SECRET
从源码运行
若克隆了项目仓库,可直接运行Python脚本:
bashusage: ./auto-scan.py [-h] [--account ACCOUNT] [--subaccount SUBACCOUNT] [--api-key API_KEY] [--api-secret API_SECRET] [-p PROFILE] [--proxy-scanner PROXY_SCANNER] [--cache-timeout] [--days DAYS] [--hours HOURS] [--registry REGISTRY] [--rescan] [--list-only] [--inline-scanner] [--inline-scanner-path INLINE_SCANNER_PATH] [--inline-scanner-access-token INLINE_SCANNER_ACCESS_TOKEN] [--inline-scanner-only] [--inline-scanner-prune] [-d] [--debug]
Inline Scanner扫描
版本0.3及以上支持使用Lacework Inline Scanner评估容器,适用于未集成到Lacework的容器注册表或公开镜像。需使用container-auto-scan-inline镜像,该镜像支持Docker-in-Docker,以root用户运行。
基本用法
bashdocker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock lacework/container-auto-scan-inline --inline-scanner-access-token <SCANNER_ACCESS_TOKEN_HERE>
仅使用Inline Scanner
bashdocker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock lacework/container-auto-scan-inline --inline-scanner-only --inline-scanner-access-token <SCANNER_ACCESS_TOKEN_HERE>
Inline Scanner自动集成
版本0.5及以上支持自动管理Inline Scanner集成及访问令牌,使用--auto-integrate-inline-scanner参数:
bashdocker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock lacework/container-auto-scan-inline --org-level --auto-integrate-inline-scanner
注意事项
- Inline Scanner专用镜像名为
container-auto-scan-inline - 该镜像以root用户运行,Lacework配置文件需挂载到
/root/目录 - 访问令牌可通过
--inline-scanner-access-token参数、LW_ACCESS_TOKEN环境变量或--auto-integrate-inline-scanner自动生成 - Inline Scanner当前限制为每小时60次扫描
- 若扫描远程 registry 中的镜像,可挂载Docker凭证:
-v /root/.docker/config.json:/root/.docker/config.json
Kubernetes部署
如需持续运行,可使用Kubernetes Deployment。示例manifest位于项目的manifests/目录,将Lacework API凭证存储为Kubernetes Secret,并以守护进程模式运行:
yaml# 示例Kubernetes部署配置(详细内容请参考项目manifests目录) apiVersion: apps/v1 kind: Deployment metadata: name: container-auto-scan spec: replicas: 1 selector: matchLabels: app: container-auto-scan template: metadata: labels: app: container-auto-scan spec: containers: - name: container-auto-scan image: lacework/container-auto-scan-inline args: ["-d", "--auto-integrate-inline-scanner"] volumeMounts: - name: docker-sock mountPath: /var/run/docker.sock - name: lacework-config mountPath: /root/.lacework.toml subPath: lacework.toml volumes: - name: docker-sock hostPath: path: /var/run/docker.sock - name: lacework-config secret: secretName: lacework-credentials
参数说明
| 短参数 | 长参数 | 默认值 | 说明 |
|---|---|---|---|
-h | --help | 显示帮助信息并退出 | |
--account | None | Lacework账户名 | |
--subaccount | None | Lacework子账户名 | |
--api-key | None | Lacework API密钥 | |
--api-secret | None | Lacework API密钥密钥 | |
-p | --profile | None | Lacework CLI配置文件 |
--proxy-scanner | None | Lacework代理扫描器地址:http(s)://[address]:[port] | |
--cache-timeout | 24 | 扫描结果缓存小时数,超时后重新扫描 | |
--days | None | 搜索活跃容器的天数 | |
--hours | 0 | 搜索活跃容器的小时数 | |
--registry | None | 要扫描的容器注册表域名(逗号分隔) | |
--rescan | 对已扫描过的容器重新发起扫描请求 | ||
--list-only | 仅列出集成/指定注册表中的活跃容器(不执行扫描) | ||
--auto-integrate-inline-scanner | 自动创建和复用Inline Scanner集成 | ||
--inline-scanner | None | 使用本地Inline Scanner评估镜像,而非Lacework平台(无论注册表是否集成,都会尝试扫描) | |
--inline-scanner-path | None | Inline Scanner可执行文件路径(默认:lw-scanner需在PATH中) | |
--inline-scanner-access-token | None | Inline Scanner认证令牌(生产环境建议使用--inline-scanner参数配合LW_ACCESS_TOKEN环境变量) | |
--inline-scanner-only | 仅使用Inline Scanner(默认:平台扫描为主,未配置注册表的容器使用Inline Scanner) | ||
--inline-scanner-prune | 扫描完成后,从本地Docker注册表中清理镜像(相当于docker rmi) | ||
--org-level | 遍历组织中的每个账户(仅平台扫描支持) | ||
-d | --daemon | 以守护进程模式运行(每20分钟执行一次) | |
--debug | 启用调试日志 |
环境变量
Lacework API
| 环境变量 | 描述 | 是否必填 |
|---|---|---|
LW_PROFILE | Lacework CLI配置文件(配置于~/.lacework.toml) | 否 |
LW_ACCOUNT | Lacework账户/组织域名(如<account>.lacework.net) | 否 |
LW_SUBACCOUNT | Lacework子账户 | 否 |
LW_API_KEY | Lacework API访问密钥 | 否 |
LW_API_SECRET | Lacework API访问密钥密钥 | 否 |
Lacework Inline Scanner
| 环境变量 | 描述 | 是否必填 |
|---|---|---|
LW_ACCESS_TOKEN | Lacework Inline Scanner认证令牌 | 否 |
已知问题
- 受Lacework API限制,每小时最多可扫描400个容器
- 受Lacework API限制,最多返回5000个已扫描容器镜像(用于去重)
- 受Lacework API限制,每个注册表最多返回5000个容器仓库/标签组合
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 container-auto-scan 镜像标签
docker pull docker.xuanyuan.run/lacework/container-auto-scan:<标签>
DockerHub 原生拉取命令
docker pull lacework/container-auto-scan:<标签>
更多 container-auto-scan 镜像推荐
lacework/container-auto-scan-inline
lacework
为Lacework账户/组织中活跃的容器触发漏洞评估,支持平台扫描和Inline Scanner,可自动管理扫描缓存、枚举容器仓库并根据回溯期筛选活跃容器,简化容器安全检测流程。
5万+ 次下载
3 年前更新
temporalio/auto-setup
temporalio
工作流即代码(Workflow as Code,TM)是一种将应用构建与运维流程通过代码化方式定义、管理和执行的方法,旨在提升应用的可靠性、可恢复性与持续运行能力,支持开发与运维团队高效协作,实现从构建到运维的全生命周期自动化,确保应用在复杂场景及潜在故障下仍能稳定运行,从而帮助用户构建并运维具备强大韧性的应用系统。
6 次收藏1000万+ 次下载
18 天前更新
rancher/security-scan
rancher
暂无描述
5 次收藏1000万+ 次下载
13 天前更新
autopas/autopas-build-gcc
autopas
提供多种用于AutoPas库的Dockerfile,按构建任务分类(如不同编译器、代码覆盖率、文档生成等),支持无需依赖构建和测试。
1 次收藏1万+ 次下载
5 个月前更新
autopas/autopas-build-clang
autopas
提供多种Dockerfile,按任务分类用于构建AutoPas库,支持不同编译器(clang、gcc)、代码覆盖率、CUDA、文档生成等需求,无需安装依赖即可使用,适用于开发和测试环境。
1 次收藏1万+ 次下载
5 个月前更新
autopas/autopas-build-archer
autopas
提供用于构建AutoPas库的Docker镜像,包含archer数据竞争检测器等工具,支持多种构建环境和功能需求,如不同编译器构建、代码覆盖率分析及文档生成。
1 次收藏1万+ 次下载
5 个月前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
轩辕镜像支持 docker push 上传本地镜像吗?
不支持 push
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"