で画像をスキャンできませんPrisma Cloud「データの拡張に失敗しました: 別のフォルダーへの chroot を実行したコンテナーのイメージ スキャンを実行できません」というエラーが表示される Prisma Cloud
20859
Created On 05/05/22 09:21 AM - Last Modified 04/24/24 11:26 AM
Symptom
- で画像をスキャンできませんPrisma Cloud「データの拡張に失敗しました: 別のフォルダーへの chroot を実行したコンテナーのイメージ スキャンを実行できません」というエラーが表示されるPrisma Cloud
Environment
- Prisma Cloud
- CRI-O/コンテナ環境
Cause
- この chroot の問題は、この特定のコンテナーがホスト ファイル システムのルート (以下を参照) をマウントし、chroot (ファイル システムのルートを変更) を実行するときに発生します。
{
"Source": "/",
"Destination": "/rootfs",
"Shared": false,
"Readonly": false
}
- このような場合、実際のイメージ ファイル システムをスキャンする方法はありません。これは、基本的にホスト上で直接実行されているように見えるためです。
- このエラー メッセージは、CRI-O設計による画像スキャン。
- のCRI-O/containerd 環境では、実行中のコンテナーのイメージは、/proc/<container pid>/root を介してコンテナー ルートを検索することによってスキャンされます。
- chroot されたコンテナーでは、/proc/<container pid>/root はイメージの元のルートを指していないため、スキャンは部分的または不正確になります。
- 間違ったデータで続行する代わりに、Defender はこのエラー メッセージを発行します。
- このイメージに存在する脆弱性を正確に可視化するために、レジストリ スキャンは正確な結果を提供します。
Resolution
- このようなコンテナをスキャンするために、将来の検討のために投票できる既存の機能リクエストがあります。TP-I- 1044 .
Additional Information
- Docker の場合、Docker のような制限はなく、CRI-Oイメージ スキャンの実装の動作は異なります。
A . 他の画像で見られる同様のインスタンスはありません。
Q . このエラー メッセージはコンソール ログに記録されていますか?
A . これは、Defender ログで確認できます。
Q .コンソールでスキャンできない画像のセットリストを特定する方法はありますか?UIとログ?
A . いいえ。パブリック/プライベート レジストリに適切な権限が割り当てられている限り、Prisma Cloud防御側は、あらゆる画像をスキャンできます。