Про сканер уязвимостей в Yan­dex Cloud. На днях были новости, что Yan­dex открыл доступ к своему сканеру уязвимостей. Из этих новостей было не очень понятно что за сканер, для чего сканер. Но я нашел первоисточник — блогопост на сайте Яндекс Клауда.

1. Речь о сканере для Dock­er-образов, интегрированный в сервис Yan­dex Con­tain­er Reg­istry. Это аналог Aqua Trivy, Clair, Fal­co, Dock­er scan. Ну и моего Scan­vus-а. 🙂 И видимо имеется ввиду Сканер уязвимостей описанный в документации, поддерживающий Alpine, Cen­tOS, Debian, Red­hat, Ubun­tu в качестве ОС, на которых могут быть собраны пользовательские Dock­er-образы.

2. В чем преимущество: "Чтобы использовать сканер уязвимостей Yan­dex Cloud, не требуется выделять дополнительную инфраструктуру, обслуживать её, заниматься разворачиванием и поддержкой продукта или глобально менять процесс выкладки кода. "

3. Описание сканера частично понятно, детект по пакетам: "по результатам сканирования образа пользователь получает отчёт об уязвимостях, обнаруженных в конкретных пакетах ОС, и о версиях этих пакетов с исправлениями, если такие имеются". А то, что понимается под "сканер уязвимостей с использованием статического анализа" — загадочно.

4. Уровни сканирования: реестра целиком и выбранных репозиториев. Сканирование отдельных образов и фильтрации по тегам пока нет, но обещают.

5. Сколько стоит: "Первые шесть первичных и шесть последующих сканирований бесплатны. Начиная с седьмого раза нужно будет платить: за каждое первичное — 13,2 рубля, а за последующее — 7,2 рубля."