Модуль operator-trivy: настройки

параметры

Версия схемы: 1

• settings

  объект
  • settings.additionalRegistryCA

    массив объектов

    Список корневых сертификатов (CA) приватных хранилищ образов контейнеров (container registry).

    Если требуется указать несколько сертификатов, они перечисляются последовательно, без дополнительных переносов строк.

    Пример:

    
    

    additionalRegistryCA:
      - name: example CA
        ca: |
          -----BEGIN CERTIFICATE-----
          .................
          -----END CERTIFICATE-----
      - name: CA with intermediate CA
        ca: |
          -----BEGIN CERTIFICATE-----
          .................
          -----END CERTIFICATE-----
          -----BEGIN CERTIFICATE-----
          .................
          -----END CERTIFICATE-----
    

    • settings.additionalRegistryCA.ca

      строка
    • settings.additionalRegistryCA.name

      строка
  • settings.additionalVulnerabilityReportFields

    массив строк

    Список дополнительных полей из базы уязвимостей, добавляемых к отчетам об уязвимостях (VulnerabilityReport).

    Пример:

    
    

    additionalVulnerabilityReportFields:
    - Class
    - Target
    

  • settings.denyVulnerableImages

    объект

    Настройки оператора trivy.

    Оператор запрещает создание Pod/Deployment/StatefulSet/DaemonSet с образами, которые имеют уязвимости в пространствах имен с лейблом security.deckhouse.io/trivy-provider: "".

    По умолчанию: {}

    • settings.denyVulnerableImages.allowedSeverityLevels

      массив строк

      Образы контейнеров, содержащие только уязвимости указанных уровней критичности, не будут запрещены.
      • settings.denyVulnerableImages.allowedSeverityLevels.Элемент массива

        строка

        Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

    • settings.denyVulnerableImages.enabled

      булевый

      Запретить использование уязвимых образов в пространствах имен, имеющих лейбл security.deckhouse.io/trivy-provider: "".

      По умолчанию: false

    • settings.denyVulnerableImages.registrySecrets

      массив объектов

      Список дополнительных секретов приватных регистри.

      По умолчаниюю для загрузки образов для сканирования используется секрет deckhouse-registry.

      По умолчанию: []

      • settings.denyVulnerableImages.registrySecrets.name

        строка
      • settings.denyVulnerableImages.registrySecrets.namespace

        строка
  • settings.disableSBOMGeneration

    булевый

    Отключает генерацию отчетов SBOM.

    Внимание. При установке значения “true”, все текущие отчеты SBOM в кластере удаляются (очистка выполняется один раз).

    По умолчанию: false

    Примеры:

    
    

    disableSBOMGeneration: true
    

    disableSBOMGeneration: false
    

  • settings.insecureDbRegistry

    булевый

    Разрешает Trivy скачивать базы данных уязвимостей, используя недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) или подключения по HTTP.

    По умолчанию: false

    Примеры:

    
    

    insecureDbRegistry: true
    

    insecureDbRegistry: false
    

  • settings.insecureRegistries

    массив строк

    Список адресов хранилищ образов контейнеров (container registry), к которым разрешены недоверенные HTTPS-подключения (не прошедшие проверку TLS-сертификата) и подключения по HTTP.

    Пример:

    
    

    insecureRegistries:
    - my.registry.com
    - http-only.registry.io
    

  • settings.linkCVEtoBDU

    булевый

    Включить конвертацию отчетов уязвимостей. Заменяет уязвимости из базы CVE на данные из базы BDU и выводит их в отчете.

    По умолчанию: false

    Примеры:

    
    

    linkCVEtoBDU: true
    

    linkCVEtoBDU: false
    

  • settings.nodeSelector

    объект

    Опциональный селектор для компонентов operator-trivy и заданий сканирования (Jobs).

    Структура, аналогичная spec.nodeSelector пода Kubernetes.

    Если значение не указано или указано false, будет использоваться автоматика.

    Пример:

    
    

    disktype: ssd
    

  • settings.reportResourceLabels

    массив строк

    Список дополнительных меток маркировки отчетов (VulnerabilityReport) Trivy.

    Значения этих меток будут соответствовать значениям меток сканируемых ресурсов.

    Примеры:

    
    

    reportResourceLabels: app
    

    reportResourceLabels: env
    

  • settings.severities

    массив строк

    Фильтрация отчетов уязвимостей по уровню их критичности.

    Примеры:

    
    

    severities: UNKNOWN
    

    severities: CRITICAl
    

    • settings.severities.Элемент массива

      строка

      Допустимые значения: UNKNOWN, LOW, MEDIUM, HIGH, CRITICAL

  • settings.storageClass

    строка

    Имя StorageClass, который будет использоваться по умолчанию в кластере.

    Если значение не указано, то будет использоваться StorageClass, согласно настройке глобального параметра storageClass.

    Настройка глобального параметра storageClass учитывается только при включении модуля. Изменение глобального параметра storageClass при включенном модуле не приведет к перезаказу диска.

    Внимание. Если указать значение, отличное от текущего (используемого в существующей PVC), диск будет перезаказан, и все данные удалятся.

    Если указать false, будет принудительно использоваться emptyDir.

    Примеры:

    
    

    storageClass: ceph-ssd
    

    storageClass: "false"
    

  • settings.tolerations

    массив объектов

    Опциональные tolerations для компонентов operator-trivy и заданий сканирования (Jobs).

    Структура, аналогичная spec.tolerations пода Kubernetes.

    Если значение не указано или указано false, будет использоваться автоматика.

    Пример:

    
    

    effect: NoSchedule
    key: key1
    operator: Equal
    value: value1
    

    • settings.tolerations.effect

      строка
    • settings.tolerations.key

      строка
    • settings.tolerations.operator

      строка
    • settings.tolerations.tolerationSeconds

      целочисленный
    • settings.tolerations.value

      строка