将容器产品发布到 Azure 市场时,Azure 团队会对其进行验证来确保其安全。 如果容器产品未通过某项测试,则不会发布。 你将收到一条说明此问题的错误消息。
本文介绍容器发布过程中的常见错误消息,并给出了相关解决方案。
注意
如果你对本文有疑问或想提出改进建议,请联系合作伙伴中心支持。
漏洞失败
漏洞是一种可利用的风险和/或不安全的入口点,恶意参与者可适用它们来执行恶意操作。
市场容器认证使用 MS Defender for Cloud,后者根据 CVSS v3(通用漏洞评分系统)评分方式来扫描 ACR 中的映像是否存在漏洞。 任何 CVSS v3 评分大于或等于 7 的漏洞容器产品都将被阻止。 在某些情况下,认证会阻止具有较低分数的特定 CVE ID。 认证尝试为每个漏洞提供补救步骤,以便发布者可以解决方法它们。
还可以在发布前使用 MS Defender 或开源/付费软件(例如 Aqua Security、Qualys Container Security、Clair、Twist Lock)扫描映像。 必须至少删除高危和关键漏洞,以确保高通过率。
这些工具只是可用于联机扫描的工具的示例。 ISV 可以自由选择任何其他工具,只要它识别漏洞,它就适合它们(即使它不是列表的一部分)。
注意
通用漏洞评分系统 (CVSS) 提供了一种方法来捕获漏洞的主要特征,并生成一个可反映其严重性的数字分数,以及该分数的文本表示。 然后可以将数字分数转化为定性表示(例如低、中、高和关键),以帮助组织正确评估其漏洞管理流程并确定其优先级。
注意
在极少数情况下,产品可能有过多的漏洞,我们无法在认证报告中共享所有这些漏洞的结果。 我们建议在发布前扫描此类产品。 你还可以通过市场发布者支持联系我们,以电子邮件形式了解详情。
恶意软件失败
恶意软件是根据设计对计算机、网络或服务器有害的文件或程序。
如果计划发布容器产品,应扫描产品是否存在恶意软件,识别包含恶意软件的所有文件,并在发布容器产品之前移除这些软件。
如果现有容器产品包含恶意软件,应弃用/隐藏受影响的产品/服务,然后重新发布已修补的产品。
后续步骤
- 规划 Azure 容器产品/服务
- 有效市场奖励
- 如果你有疑问或想提供改进反馈,请联系合作伙伴中心支持