随着容器技术的普及，企业对镜像安全的要求日益提升。为防止含有高危漏洞的镜像流入生产环境，CCR 企业版推出了"镜像阻断"功能，该功能可在镜像拉取环节，对不符合安全要求的镜像进行阻断拉取，保障业务安全与合规。

注意事项

• 镜像阻断功能仅支持 CCR 企业版标准版及高级版。
• 阻断规则生效后，所有未通过扫描或高于设定风险等级的镜像将被阻止拉取。
• 白名单中的 CVE 漏洞将被豁免阻断，CCR 默认白名单长期有效。

前提条件

• 已成功 创建企业版实例 （标准版或高级版）。
• 实例中至少存在一个命名空间，具体信息请参见 管理命名空间。

功能概述

镜像阻断功能通过以下机制保障镜像安全：

• 自动扫描：镜像 push 后自动触发漏洞扫描。
• 风险分级：支持"危急"、"严重"、"中等"、"较低"四级风险分级，基于 CVSS 评分体系。
• 阻断策略：可为命名空间配置阻断规则，限制高于指定风险等级的镜像被拉取。
• CVE 白名单：支持配置CVE 白名单，豁免特定漏洞。

操作步骤

1. 创建阻断策略

1. 登录 容器镜像服务控制台
2. 在“实例管理”页面左侧导航栏中选择 安全可信>风险阻断。
3. 在风险阻断页面点击"创建阻断规则"。
4. 配置以下参数：

• 阻断规则级别：选择需阻断的最高漏洞等级（危急/严重/中等/较低）。
• 漏洞白名单：填写需豁免的 CVE ID（多个用逗号分隔）,白名单默认长期有效，支持后续随时编辑。

提示：CVE ID获取方式，访问 仓库管理>镜像仓库>仓库名称>安全扫描 详情页面查看当前镜像的扫描漏洞详情缺陷码。

5. 确认后提交，系统会自动为该命名空间开启镜像自动扫描。

2. 编辑阻断策略

• 在“风险阻断”页面查看已创建的阻断规则，包括命名空间、阻断级别、白名单等信息。同时您可以点击右侧的"编辑"按钮对已有的阻断规则进行修改，可调整阻断规则级别和白名单。点击"确定"后立即生效。

3. 删除阻断策略

• 在阻断规则列表点击"删除"按钮，确认后对已有的阻断规则进行修改并立即关闭该命名空间的镜像阻断功能。删除后，镜像拉取不再受阻断规则限制。

FAQ

1. 镜像阻断规则生效后，历史镜像会被阻断吗？
会。阻断规则生效后，命名空间下所有镜像均按新规则校验，未通过的镜像将被阻止拉取。

2. 镜像扫描未完成时能拉取吗？
不能。镜像需完成扫描且风险等级低于阻断级别方可拉取。

3. 阻断规则删除后镜像拉取有影响吗？
无影响。删除阻断规则后，命名空间下所有镜像将不再有阻断行为，均可正常拉取。

4. 如何查看镜像是否已经被阻断？

• docker客户端版本低于25，拉取被阻断的镜像会返回如下错误提示内容：

  

  current image with "Pending" status of vulnerability scanning cannot be pulled due to configured policy in 'Prevent images with vulnerability severity of "Critical" or higher from running.' To continue with pull, please contact your project administrator for help.

• docker客户端版本高于25或containerd等客户端，拉取被阻断的镜像会返回如下错误提示内容：

  

  unexpected status from HEAD request to https://ccr-normal01-pub.cnc.gz.baidubce.com/v2/test-ns/web/manifests/v1: 412 Precondition Failed