ThreatMapper中Azure容器镜像标签显示问题分析

问题背景

在ThreatMapper安全扫描平台中，用户发现当添加多个Azure容器注册表账户时，如果这些账户中存在使用相同摘要(digest)的镜像，系统无法正确显示这些镜像的所有标签(tags)。这导致用户在查看镜像详情时，只能看到部分标签信息，而实际上镜像可能拥有多个不同的标签。

技术分析

该问题主要涉及ThreatMapper平台对容器镜像元数据的处理和展示逻辑。在容器注册表(如Azure Container Registry)中，一个镜像摘要可以对应多个标签，这是容器镜像管理中的常见情况。

问题根源

1. API过滤机制：当前系统在获取镜像标签列表时，使用了image_filter参数进行查询，这可能导致部分标签信息被过滤掉。

2. 数据结构处理：系统在处理多个注册表账户中相同摘要的镜像时，可能没有正确合并这些镜像的标签信息。

3. 前端展示逻辑：标签列表视图没有正确传递和处理镜像的所有标签数据。

解决方案

经过分析，开发团队提出了以下修复方案：

1. 引入新的过滤参数：在registryaccount/images API中添加image_stub_filter参数，其请求体结构与image_filter相同，但专门用于获取完整的镜像标签信息。

2. 前端请求调整：在标签列表视图中，将原本使用的image_filter替换为image_stub_filter，确保能获取到完整的标签数据。

3. 数据合并处理：后端服务需要改进对多个注册表账户中相同摘要镜像的处理逻辑，确保所有标签信息都能被正确收集和返回。

实现示例

以下是使用新过滤参数的API请求示例：

curl 'https://<console>/deepfence/registryaccount/images' \
  -H 'authorization: Bearer <token>' \
  --data-raw '{"image_stub_filter":{"compare_filter":[],"contains_filter":{"filter_in":{"docker_image_name":["jatin"]}},"match_filter":{"filter_in":{}},"not_contains_filter":{"filter_in":{}},"order_filter":{"order_fields":[]}},"registry_id":"azure_container_registry-deepfence-4","window":{"offset":0,"size":10}}'

总结

该问题的修复确保了ThreatMapper平台能够正确显示Azure容器注册表中镜像的所有标签信息，特别是当多个注册表账户中存在相同摘要的镜像时。这对于安全扫描和镜像管理至关重要，因为不同的标签可能代表不同的版本或环境配置，安全团队需要全面了解这些信息才能做出准确的安全评估。

通过引入专门的过滤参数和改进数据处理逻辑，ThreatMapper增强了对容器镜像元数据的处理能力，为用户提供了更完整、准确的镜像信息展示。