TSHIIOTA 003-2023 云原生应用平台 工业应用适配规范

本文以《TSHIIOTA 003-2023 云原生应用平台工业应用适配规范》中关于“容器镜像安全扫描功能”这一条为例，分析其在新旧版本中的差异及具体应用方法。

在旧版标准（假设为TSHIIOTA 003-2021）中，对于容器镜像安全扫描的要求较为笼统，仅提出需要具备基本的安全扫描能力，并未对扫描频率、扫描工具的选择以及扫描结果的处理流程做出明确规定。而在新版标准中，这一条得到了显著增强。首先，新版明确了容器镜像在构建完成后需立即进行扫描，同时要求在每次部署前再次执行扫描操作。其次，新增了对扫描工具的技术要求，比如必须支持主流漏洞数据库的实时更新，并且能够识别至少95%以上的已知漏洞。最后，强调了扫描结果应当形成详细的报告，并且对于高风险漏洞必须采取相应的补救措施并记录整个处置过程。

接下来我们来看如何实施这些规定。第一步是选择合适的扫描工具，确保该工具满足上述技术指标，特别是其漏洞数据库的更新频率和覆盖率。第二步是在CI/CD流水线中集成自动化的扫描任务，在代码提交后立即触发扫描程序。第三步是设置合理的阈值来判断哪些漏洞属于高风险级别，一旦发现高风险漏洞应暂停部署流程，启动修复工作。第四步则是建立完善的文档体系，包括每次扫描的结果报告、采取的整改措施以及最终验证通过的证明材料等，以便后续审计时使用。

通过以上步骤，企业可以有效地提升其云原生应用的安全性，符合最新的工业应用适配规范要求。