Я использую сканер вредоносных программ GCP https://github.com/GoogleCloudPlatform/docker-clamav-malware-scanner/tree/main/cloudrun-malware-scanner
У нас в инфраструктуре настроен Falco. После сканирования он обнаруживает двоичный файл freshclam
, который присутствует здесь в Dockerfile как потенциальная угроза.
Вот вывод:
Но freshclam
является допустимым двоичным файлом, предоставленным clamAV для обновления вируса определения.
Одним из вариантов было бы настроить правило falco, чтобы добавить двоичный файл в белый список, но нам не разрешено обновлять его из-за политики безопасности нашей организации.
Мы ищем другие способы подавления ошибки.
Есть ли способ обработать ее в Dockerfile?
Executing binary not part of base image (proc_exe=freshclam proc_sname=bash gparent=containerd-shim proc_exe_ino_ctime=1723025821816443963 proc_exe_ino_mtime=1707425906000000000 proc_exe_ino_ctime_duration_proc_start=31954027282 proc_cwd=/app/ container_start_ts=1723025814660069004 evt_type=execve user=root user_uid=0 user_loginuid=-1 process=freshclam proc_exepath=/usr/bin/freshclam parent=bash command=freshclam terminal=0 exe_flags=EXE_WRITABLE|EXE_UPPER_LAYER container_id=7e5d8b554c6b container_name=malware-scanner-service)