質問
レジストリ内に格納されているイメージをAquaでイメージスキャンし、そのイメージが健全なイメージとして承認済みになったとします。
例えばその後、悪意を持った外部の人間や開発者が、承認済みイメージを危険性のある他のイメージとすり替えた(承認済みイメージと同じ名前にリネームしてレジストリにPushしなおすなど)場合、Aquaでは承認済みイメージとして扱われてしまうのでしょうか?
回答
Aquaではイメージをイメージ名ではなくハッシュ値で識別しているため、イメージ名をリネームして偽装したとしても、ハッシュ値が異っていれば異なるイメージとして扱われます。
そのため、すり替えたイメージからコンテナをデプロイしようとしても、異なるイメージであると判断され、未知もしくは未承認イメージとして扱われ、(Runtime Policies設定で有効になっている場合は)デプロイが検知/ブロックされることになります。
―――――――――――――――――――――――――――――――――――――――――――――
公開日:2020.6.3
対象バージョン:4.6
※記載内容は上記公開日時点、対象バージョンに基づいた内容となります。記載内容や条件、リンク先URLについては、バージョンアップ等により予告なく変更される可能性がありますので、あらかじめご了承ください。