Image in kann nicht gescannt Prisma Cloud werden mit Fehler "failed to augment data: cannot perform image scanning for container that run chroot to another folder" in Prisma Cloud

• Image in kann nicht gescannt Prisma Cloud werden mit Fehler "failed to augment data: cannot perform image scanning for container that run chroot to another folder" in Prisma Cloud 

• Prisma Cloud
• CRI-O/container-Umgebungen

• Dieses chroot-Problem tritt auf, wenn dieser spezielle Container das Host-Dateisystem-Root (siehe unten) einhängt und chroot ausführt (das Root seines Dateisystems geändert hat).

{
"Source": "/",
"Destination": "/rootfs",
"Shared": false,
"Readonly": false
}

• In solchen Fällen gibt es keine Möglichkeit, das eigentliche Image-Dateisystem zu scannen, da es im Grunde so aussieht, als würde es direkt auf dem Host laufen.
• Diese Fehlermeldung ist auf eine Einschränkung beim abarbeitenden Scannen von CRI-O Bildern zurückzuführen.
• In CRI-O/containerd-Umgebungen werden Bilder von laufenden Containern gescannt, indem der Containerstamm über /proc/<container pid>/root nachgeschlagen wird.
• In chroot-Containern verweist /proc/<container pid>/root nicht auf den ursprünglichen Stamm des Bildes, sodass der Scan teilweise/falsch wäre.
• Anstatt mit falschen Daten fortzufahren, gibt der Defender diese Fehlermeldung aus.
• Um einen genauen Einblick in die Schwachstellen zu erhalten, die für dieses Abbild bestehen, würde das Scannen der Registrierung genaue Ergebnisse liefern.

• Um solche Container zu scannen, gibt es eine vorhandene Feature Request, die für zukünftige Überlegungen abgestimmt werden kann: TP-I-1044.

• Für Docker gibt es keine Einschränkung, da Docker und CRI-O Image Scanning Implementation unterschiedlich funktionieren.