Исправление уязвимых пакетов
Открываем Dockerfile и переходим к строке 19. Строка 19 прямо сейчас устанавливает определённую версию openssl:
RUN apt-get update && apt-get install -y openssl=1.1.1n-0+deb10u3 && rm -rf /var/lib/apt/lists/*
Обновите эту строку, чтобы установить последнюю версию в соответствии с результатом сканирования kubeclarity-cli:
RUN apt-get update && apt-get install -y openssl=1.1.1n-0+deb10u5 && rm -rf /var/lib/apt/lists/*
Результат показал, что проблемы впоследствии будут исправлены в
1.1.1n-0+deb10u4 и 1.1.1n-0+deb10u5. Поэтому мы будем использовать самую последнюю доступную версию.
Давайте создадим новый образ:
docker build -t ghcr.io/schultyy/rust-workload:0.0.4 .
Чтобы убедиться, что проблема устранена, мы перезапускаем KubeClarity, на этот раз с установленной переменной LOCAL_IMAGE_SCAN=true. Мы хотим просканировать наш локальный образ перед отправкой, чтобы убедиться, что в OpenSSL нет незакрытых уязвимостей:
LOCAL_IMAGE_SCAN=true kubeclarity-cli scan ghcr.io/schultyy/rust-workload:0.0.4 --input-type image -o table | grep openssl
openssl 1.1.1n-0+deb10u5 CVE-2010-0928 NEGLIGIBLE grype
openssl 1.1.1n-0+deb10u5 CVE-2007-6755 NEGLIGIBLE grype..
При сканировании по-прежнему отображаются две записи openssl, но только с уровнем важности NEGLIGIBLE. Таким образом, проблема была исправлена.
Перевод с некоторыми авторскими заголовками.
Автор оригинала: Jan Schulte.
