tencent cloud

操作场景

腾讯云容器镜像服务（Tencent Container Registry，TCR）企业版支持对托管的容器镜像进行安全扫描，生成扫描报告，暴露容器镜像内潜在的安全漏洞，并提供修复建议。容器镜像安全是云原生应用交付安全的重要一环，对上传的容器镜像进行及时安全扫描，并基于扫描结果选择阻断应用部署，可有效降低生产环境漏洞风险。

镜像部署阻断功能内置在命名空间层级，可选择开启该功能，并配置阻断规则及可忽略的镜像漏洞。开启该功能后，如容器客户端尝试拉取符合阻断策略的容器镜像，将被阻断，并返回相关报错说明。

前提条件

在使用镜像部署阻断功能前，您需要完成以下准备工作：

• 已成功 购买企业版实例。
• 如果使用子账号进行操作，请参考 企业版授权方案示例 提前为子账号授予对应实例的操作权限。

操作步骤

配置阻断策略

1. 登录 容器镜像服务 控制台，选择左侧导航栏中的命名空间。
2. 在“命名空间”页面中，单击需配置阻断策略的实例名称，进入命名空间详情页。
3. 在“部署安全”页，将启动阻断配置为已开启，并配置需要阻断的漏洞等级。

配置漏洞白名单

已开启部署阻断后，可配置漏洞白名单，输入一条或多条 CVE ID，并用英文逗号分隔。如果镜像安全扫描结果中包含该漏洞 ID，将被阻断策略忽略。即如果该镜像内有一高危漏洞，但高危漏洞已被配置为白名单，则即便已配置阻断具有高危漏洞的镜像拉取，该镜像仍可正常拉取。