Lorsque vous publiez vos produits conteneur sur la Place de marché Azure, l’équipe Azure la valide pour vous assurer qu’elle est sécurisée. Si vos produits conteneur échouent à l’un des tests, ils ne seront pas publiés. Vous recevrez un message d’erreur qui décrit le problème.
Cet article décrit les messages d’erreur courants lors de la publication de conteneurs, ainsi que les solutions associées.
Note
Si vous avez des questions sur cet article ou des suggestions d’amélioration, contactez support de l’Espace partenaires.
Échec de vulnérabilité
Une vulnérabilité est un risque exploitable et/ou un point d’entrée non sécurisé qui peut être utilisé par des acteurs malveillants pour des actions malveillantes.
La certification des conteneurs de la Place de marché utilise MS Defender pour le cloud, qui analyse les images dans ACR pour détecter les vulnérabilités en fonction du score CVSS v3 (Système de scoring des vulnérabilités commun). Tous les produits conteneur présentant des vulnérabilités avec un score CVSS v3 supérieur ou égal à 7 sont bloqués. Il peut arriver que des ID CVE spécifiques avec des scores encore plus faibles soient bloqués par la certification. La certification tente de fournir des étapes de correction pour chaque vulnérabilité afin que les éditeurs puissent les corriger.
Vous pouvez également utiliser MS Defender ou des logiciels open source/payants tels que Aqua Security, Qualys Container Security, Clair, Twist Lock pour analyser vos images avant la publication. Vous devez supprimer au moins des vulnérabilités élevées et critiques pour garantir un taux élevé de transmission.
Ces outils ne sont que des exemples d’outils disponibles pour l’analyse en ligne. Les éditeurs de logiciels indépendants sont libres de choisir n’importe quel autre outil, qui est adapté à eux (même s’il ne fait pas partie de la liste ici) tant qu’il identifie les vulnérabilités.
Note
Le système cvSS (Common Vulnerability Scoring System) permet de capturer les principales caractéristiques d’une vulnérabilité et de produire un score numérique reflétant sa gravité et une représentation textuelle de ce score. Le score numérique peut ensuite être traduit en une représentation qualitative (par exemple, faible, moyenne, élevée et critique) pour aider les organisations à évaluer et hiérarchiser correctement leurs processus de gestion des vulnérabilités.
Note
Il existe de rares scénarios où les produits peuvent avoir un nombre excessif de vulnérabilités et que nous ne pouvons pas partager les résultats pour tous dans le rapport de certification. Nous vous recommandons d’analyser ces produits avant la publication. Vous pouvez également nous contacter à support de l’éditeur de la Place de marché pour obtenir des détails dans l’e-mail.
Échec des programmes malveillants
Un logiciel malveillant ou malveillant est un fichier ou un programme conçu pour être dangereux pour les ordinateurs, le réseau ou les serveurs.
Si vous envisagez de publier des produits conteneur, vous devez analyser votre produit pour détecter les programmes malveillants, identifier tous les fichiers qui contiennent des programmes malveillants et les supprimer avant de publier le produit conteneur.
Si vos produits de conteneur existants ont des programmes malveillants, vous devez déprécier/masquer les offres affectées et republier le produit corrigé.
Contenu connexe
- Planifier une offre de conteneur Azure
- récompenses Place de marché active
- Si vous avez des questions ou des commentaires sur l’amélioration, contactez support de l’Espace partenaires