无法扫描图像Prisma Cloud错误“无法增加数据:无法对运行 chroot 到另一个文件夹的容器执行图像扫描” Prisma Cloud
20845
Created On 05/05/22 09:21 AM - Last Modified 04/24/24 11:26 AM
Symptom
- 无法扫描图像Prisma Cloud错误“无法增加数据:无法对运行 chroot 到另一个文件夹的容器执行图像扫描”Prisma Cloud
Environment
- Prisma Cloud
- CRI-O/容器环境
Cause
- 此 chroot 问题发生在该特定容器挂载主机文件系统根目录(见下文)并执行 chroot(更改其文件系统的根目录)时。
{
"Source": "/",
"Destination": "/rootfs",
"Shared": false,
"Readonly": false
}
- 在这种情况下,无法扫描实际的图像文件系统,因为它基本上显示为直接在主机上运行。
- 此错误消息是由于CRI-O图像扫描设计。
- 在CRI-O/containerd 环境,通过 /proc/<container pid>/root 查找容器根来扫描正在运行的容器的图像。
- 在 chrooted 容器中,/proc/<container pid>/root 不指向图像的原始根目录,因此扫描将是部分的/不正确的。
- Defender 不会继续处理不正确的数据,而是发出此错误消息。
- 为了准确了解此映像存在的漏洞,注册表扫描将提供准确的结果。
Resolution
- 要扫描此类容器,可以对现有的功能请求进行投票以供将来考虑:TP-I- 1044 .
Additional Information
- 对于 Docker 没有 Docker 和CRI-O图像扫描实现的工作方式不同。
A . 其他图像没有看到类似的实例。
Q . 是否在控制台日志中找到此错误消息?
A . 这可以在 Defender 日志中找到。
Q .有没有办法确定一组无法扫描的图像列表,原因在控制台中UI和日志?
A . 不会。只要公共/私人登记处分配了适当的权限,Prisma Cloud防御者可以扫描任何图像。