Lorsque vous publiez vos produits conteneur sur la Place de marché Azure, l'équipe Azure les valide pour s'assurer qu'ils sont sécurisés. Si vos produits conteneur échouent à l’un des tests, ils ne seront pas publiés. Vous recevrez un message d’erreur qui décrit le problème.
Cet article présente les messages d'erreur les plus couramment rencontrés lors de la publication du conteneur, ainsi que les solutions associées.
Remarque
Si vous avez des questions sur cet article ou des suggestions d’amélioration, contactez le support d’Espace partenaires.
Échec de vulnérabilité
Une vulnérabilité est un risque exploitable et/ou un point d’entrée non sécurisé qui peut être utilisé par des acteurs malveillants pour des actions malveillantes.
La certification des conteneurs de la Place de marché utilise MS Defender pour le cloud, qui analyse les images dans ACR pour détecter les vulnérabilités en fonction du score CVSS v3 (système common vulnerability scoring system). Tous les produits de conteneur présentant des vulnérabilités avec un score CVSS v3 supérieur ou égal à 7 sont bloqués. Il peut arriver que des ID CVE spécifiques avec des scores encore plus faibles soient bloqués par la certification. La certification tente de fournir des étapes de correction pour chaque vulnérabilité afin que les éditeurs puissent les corriger.
Vous pouvez également utiliser MS Defender ou des logiciels open source/payants tels que Aqua Security, Qualys Container Security, Clair, Twist Lock pour analyser vos images avant de publier. Vous devez supprimer au moins des vulnérabilités élevées et critiques pour garantir un taux élevé de transmission.
Ces outils ne sont que des exemples des outils disponibles pour l’analyse en ligne. Les éditeurs de logiciels indépendants sont libres de choisir n’importe quel autre outil, qui est adapté à eux (même s’il ne fait pas partie de la liste ici) tant qu’il identifie les vulnérabilités.
Remarque
Le système CVSS (Common Vulnerability Scoring System) permet de capturer les principales caractéristiques d’une vulnérabilité et de produire un score numérique reflétant sa gravité et une représentation textuelle de ce score. Le score numérique peut ensuite être traduit en représentation qualitative (par exemple, faible, moyen, élevé et critique) pour aider les organisations à évaluer et hiérarchiser correctement leurs processus de gestion des vulnérabilités.
Remarque
Il existe de rares scénarios où les produits peuvent avoir un nombre excessif de vulnérabilités et que nous ne pouvons pas partager les résultats pour tous dans le rapport de certification. Nous vous recommandons d’analyser ces produits avant la publication. Vous pouvez également nous contacter au support de l’éditeur de la Place de marché pour obtenir des détails dans l’e-mail.
Échec des programmes malveillants
Un programme malveillant, ou un logiciel malveillant, est un fichier ou un programme conçu pour être dangereux pour les ordinateurs, le réseau ou les serveurs.
Si vous envisagez de publier des produits conteneur, vous devez analyser votre produit pour détecter les programmes malveillants, identifier tous les fichiers qui contiennent des programmes malveillants et les supprimer avant de publier le produit conteneur.
Si vos produits de conteneur existants ont des programmes malveillants, vous devez déprécier/masquer les offres affectées et republier le produit corrigé.
Contenu connexe
- Planifier une offre de conteneur Azure
- Activer les Récompenses de la place de marché
- Si vous avez des questions ou des suggestions d’amélioration, contactez le support d’Espace partenaires