Impossible d’analyser l’image avec Prisma Cloud l’erreur « Impossible d’augmenter les données: impossible d’effectuer une analyse d’image pour le conteneur qui a exécuté chroot dans un autre dossier » dans Prisma Cloud

• Impossible d’analyser l’image avec Prisma Cloud l’erreur « Impossible d’augmenter les données: impossible d’effectuer une analyse d’image pour le conteneur qui a exécuté chroot dans un autre dossier » dans Prisma Cloud 

• Prisma Cloud
• CRI-O/environnements conteneurisés

• Ce problème de chroot se produit lorsque ce conteneur spécifique monte la racine du système de fichiers hôte (voir ci-dessous) et exécute chroot (a modifié la racine de son système de fichiers).

{
"Source": "/",
"Destination": "/rootfs",
"Shared": false,
"Readonly": false
}

• Dans de tels cas, il n’y a aucun moyen d’analyser le système de fichiers image réel, car il apparaît essentiellement comme il s’exécute directement sur l’hôte.
• Ce message d’erreur est dû à une limitation dans la numérisation d’image par conception CRI-O .
• Dans CRI-Oles environnements /containerd, les images des conteneurs en cours d’exécution sont analysées en recherchant la racine du conteneur via /proc/<container pid>/root.
• Dans les conteneurs chrootés, /proc/<container pid>/root ne pointe pas vers la racine originale de l’image, de sorte que l’analyse serait partielle/incorrecte.
• Au lieu de procéder avec des données incorrectes, le Defender émet ce message d’erreur.
• Afin d’obtenir une visibilité précise sur les vulnérabilités qui existent pour cette image, l’analyse du registre fournirait des résultats précis.

• Pour scanner de tels conteneurs, il existe une demande de fonctionnalité existante qui peut être votée pour une considération future : TP-I-1044.

• Pour Docker, il n’y a pas de limitation car Docker et CRI-O Image Scanning Implementation fonctionnent différemment.