你的镜像安全吗？_部署映像服务和管理工具会泄露隐私吗

问脉，是由长亭团队倾力打造的一款 旁路云原生安全平台，首推零侵入探针，基于全方位威胁识别降低风险暴露面，有效保护云原生负载安全。
旁路检测作为问脉首创的云原生安全检测框架，打破了传统的容器安全产品必须在业务节点上安装探针的限制，采用 Agentless 方案进行部署，保证业务节点实现严格意义上的零侵入检测，让用户能够轻装上阵，轻松解决云原生安全问题。
目前问脉商业版支持以旁路模式扫描 镜像/集群/IAC/代码仓库/OSS 等多种对象，无需单独配置宿主探针或平行容器探针即可覆盖90%以上前置风险。 同时基于任务式驱动，灵活定义扫描 周期/范围/插件，最大程度适配各类云原生业务场景。

你能保证自己使用过的镜像是可信的、未被篡改过的吗？

公网的镜像仓库并不安全
研究显示，目前 Docker Hub 上的镜像 76% 都存在漏洞。安全公司 Palo Alto Networks 威胁情报小 Unit42 发 Docker Hub 上的镜像存在一种新型的 Graboid 挖矿绑架病毒，目前已知这个蠕虫已经感染了超过 2000 台不安全的 Docker 主机，用于挖掘 Monero 加密货币。

私有搭建的镜像仓库存在风险
Harbor 仓库1.7.0-1.8.2 版本存在垂直越权漏洞，因注册模块对参数校验不严格，可导致任意管理员注册，攻击者可以通过注册管理员账号来接管 Harbo 镜像仓库，从而写入恶意文件，最终可以感染使用此仓库的客户端。

本地构建的镜像无法保障
依据各类业务场景和具体需要的业务功能构建的临时镜像，极大可能存在不经意间写入的敏感信息内容，如 passwords，keys，creds 等。如果不进行任何检测直接投入使用，极易被攻击者窃取信息并进行恶意鉴权，危害业务功能。

问脉作为一款 旁路云原生安全平台，采用首创的旁路检测方案，无需在业务服务器上部署探针，即可实现仓库镜像安全检测，免费集成 Harbor v1、Harbor v2、dockerhub 镜像仓库，适配包括 Docker registry 在内的多种主流仓库，基于任务式驱动灵活配置，护航镜像仓库抵御安全威胁。

Agentless Scanning

无需安装部署扫描探针，严格意义上的无侵入模式，远程检测仓库中镜像安全风险。

如何做到无侵入扫描？

问脉提供云部署探针远程扫描模式，不需要提供服务器资源，不需要将探针安装到仓库所在服务器，你只需要在平台点击创建即可拥有一个免费部署在云端的探针，完成仓库信息字段填写即可开始仓库中的镜像检测。

使用速览（以云部署探针扫描 Dockerhub 仓库为例）

第一步：创建云部署探针，显示云部署探针在线即代表创建成功

第二步：集成仓库资源，选择 Dockerhub 仓库类型，填写你的 dockerhub 官网用户账号信息，并选择云部署探针，状态显示已连接即代表仓库连接成功

第三步：下发检测任务，选择对集成的仓库进行仓库镜像安全扫描，并可依据业务场景选择各类扫描插件，计划完成后可前往对应的事件列表查看检测结果。

是否可以使用本地探针进行检测？

可以,在创建探针时，我们提供云部署探针、本地部署用于扫描本地镜像的探针、本地部署用于扫描仓库镜像的旁路探针，在集成仓库时可以任意选择适配的探针对象进行使用。本地部署的优点是扫描无时间数量限制，可以根据不同的业务场景创建不同的扫描计划，灵活高效。

是否可以扫描私有仓库中的镜像？

可以,只要使用用于扫描仓库镜像的旁路探针，能够访问到对应的私有仓库就能进行检测。

最后

问脉与其他仓库镜像检测方案相比，有着如下几大优势：

1. 海量功能免费使用
2. 24小时专人答疑
3. 首创旁路模式轻量级使用，无需担忧侵入性/稳定性/保密性等问题
4. 检测镜像中漏洞/恶意文件/敏感信息等多种威胁风险，更详细更准确
5. 可视化平台，事件与资产一一对应，检测流程操作简单，极其友好

欢迎师傅们与我们分享使用感受及功能需求，我们致力用最短的时间为大家带来最需要的产品功能。