清源 (CleanSource) SCA 推出容器镜像扫描功能

云原生时代，随着 Docker、Kubernetes 技术的成熟，容器化成为了时下最火的开发理念。清源(CleanSource) SCA，在提供完整的 SBOM 输出、准确的安全漏洞扫描和许可证分析的基础上，新增容器镜像安全扫描功能，以保障用户的容器镜像安全。 

清源(CleanSource) SCA，是安势信息研发的一款拥有完全自主知识产权的软件成分分析工具，能够帮助企业降低和管理其应用或容器中因使用开源软件和其他第三方代码（软件）引入的安全、质量与许可证合规性风险。

开源管理包括持续监控影响现有应用程序和容器中新的安全漏洞，清源(CleanSource) SCA 可以帮助使用 Docker（或其他容器）打包与交付部署的团队，确认并验证其容器中使用的开源软件符合企业的安全与合规策略。

在此次发布的新版本中，清源(CleanSource) SCA 支持以下功能：

扫描对象

• 支持 Docker 镜像仓库，如 DockerHub、Artifactory、Nexus 等

• 本地 *.tar 包

• 支持的包管理器数据库格式：apk、dpkg、rpm

扫描结果

• 提供准确全面的 SBOM（软件物料清单），识别 Docker 镜像中开源软件的成分及其风险

扫描方式

• 上传使用 docker save -o 保存的本地 tar 包 

• 指定镜像的 repository 和 tag，工具自动从 docker 仓库中拉取镜像进行扫描

集成能力

• 支持 CI（如 Jenkins）集成

部署方式

• 本地部署 

• SaaS

借助清源(CleanSource) SCA，用户可以在任务创建页面触发扫描，快速、准确地获取容器镜像的组件、许可证、漏洞等详细信息，并对镜像进行检测与管理，从而保障您的容器镜像安全。 

容器化技术允许将应用程序以容器的形式交付、部署并对外提供服务，在为软件开发人员和开发团队带来卓越的敏捷性、可迁移性以及成本优化等众多优势的同时，相比于传统的 VM（Virtual Machine, 虚拟机），容器潜在的安全风险会更高。

2020 年国外某公司披露，在对 Docker Hub 中的 400 万个容器镜像分析后，发现其中超过一半的容器镜像存在一个或多个高危漏洞。即使在 Docker Hub 下载的官方镜像中也常常包含了大量的漏洞，而开发人员在使用大量开源框架时更会加剧镜像漏洞的问题。而现有的安全人员对于 DevOps 流程中的镜像完全丧失管理能力，并且也无法像传统的虚拟机扫描去对生产的容器做一定的安全评估。可以说保证容器镜像安全刻不容缓。

作为中国市场领先的软件供应链安全治理工具提供商，安势信息密切关注中国开源软件供应链的安全，高度重视技术创新，致力于保护用户代码的安全与合规。

安势信息将在后续的产品迭代更新中持续发力容器安全方向，为用户的容器安全保驾护航。