當您將容器產品發佈至 Azure Marketplace 時,Azure 小組會驗證它以確保其安全。 如果您的容器產品未通過任何測試,則不會發佈。 您會收到描述問題的錯誤訊息。
本文說明容器發佈期間常見的錯誤訊息,以及相關的解決方案。
注意
如果您有有關本文或改進建議的問題,請連絡 合作夥伴中心支援。
弱點失敗
弱點是可利用的風險和/或不安全的進入點,可由惡意執行者用於惡意動作。
Marketplace 容器認證使用適用於雲端的 MS Defender,其會根據 CVSS v3 分數掃描 ACR 中的影像是否有弱點(常見弱點評分系統)。 所有具有 CVSS v3 分數大於或等於 7 的容器產品都會遭到封鎖。 在某些情況下,認證會封鎖具有較低分數的特定 CVE 識別符。 認證會嘗試為每個弱點提供補救步驟,讓發行者可以修正這些弱點。
您也可以使用 MS Defender 或 開放原始碼/付費軟體,例如 Aqua Security、Qualys Container Security、Clair、Twist Lock 來掃描影像,再發佈。 您必須移除至少高且重大的弱點,以確保通過率很高。
這些工具只是在線掃描工具的範例。 ISV 可以自由選擇任何其他工具,只要它識別弱點,就適合它們(即使它不屬於這裡的清單一部分)。
注意
常見的弱點評分系統 (CVSS) 提供方法來擷取弱點的主要特性,併產生反映其嚴重性的數值分數,以及該分數的文字表示法。 然後,數值分數可以轉譯成定性表示法(例如低、中、高和關鍵),以協助組織適當評估並排定其 弱點管理 流程的優先順序。
注意
在少數情況下,產品可能有過多的弱點,我們無法在認證報告中共用所有弱點的結果。 建議您先掃描這類產品再發佈。 您也可以在 Marketplace 發行者支持與我們連絡,以取得電子郵件中的詳細數據。
惡意代碼失敗
惡意代碼或惡意軟體是一個檔案或程式,設計成對計算機、網路或伺服器有害。
如果您打算發佈容器產品,您應該掃描產品是否有惡意代碼、找出包含惡意代碼的所有檔案,並在發佈容器產品之前移除它們。
如果您現有的容器產品有惡意代碼,您應該取代/隱藏受影響的供應專案,並重新發佈已修補的產品。
相關內容
- 規劃 Azure 容器供應專案
- 作用中的市集獎勵
- 如果您有改善的問題或意見反應,請連絡 合作夥伴中心支援