专注docker安全 Security Scanning_docker security scanning

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

当您考虑到现代软件的供应链，这通常包括一些不同的开发场景和跨时区的公司里面的IT团队，栈和基础设施去构建、交付和运行应用。应用开发团队最主要的关注点是构建一个最好的应用，并且以尽可能快地交付给客户。然而，软件供应链并不会让开发者停止开发的工作，这是一个持续的循环和迭代，包括与团队共享代码和迁移环境。Docker让应用光滑移植并且默认运行在安全的平台，以确保安全的访问和对安全内容容量的控制。Docker Security Scanning 通过提供在docker镜像内深度搜索以及组件的安全配置去交付安全的内容。此信息在应用的生命周期每个阶段都是有效的。让我们深入了解Docker Security Scanning的细节然后看看它是怎么工作的。

Docker Security Scanning 已经在 Docker Cloud（并将在Docker Datacenter）使用，当一个新的镜像推送到仓库时会触发一系列的事件。其服务包括一个扫描触发器，扫描器，一个数据库，插件框架和CVE数据库的验证服务。

深可见性的安全配置文件

当用户/发行商推送一个镜像到Docker Cloud仓库时，Docker Security Scanning的服务会启动。扫描器服务获取到镜像然后将它分离成相应的层和组件。然后这些组件将被送到验证服务跟多个CVE数据库包的名称和版本进行对比，还会对包的内容进行二进制级别的扫描。

最后一点尤为重要，因为这种方式可以确保这个包已经正确的声明。

docker镜像是由多个层构成，每一层可能会有很多的组件/包，每一个包都有相应的名称和版本号。当漏洞报告给CVE数据库时，他们被链接到一个包名和特定的版本号。

许多服务都是直接用包名在存储着有问题的包的数据库的做简单的检查。仅此是不够的，因为它并不能保证回答“什么东西在我的容器中运行？”这个问题。除了检查包的名称，Docker Security Scanning 还对每一层进行二进制级别分析，并且把每个二进制下隐含的标记与已知的内容和版本相匹配，同时会交叉引用已知漏洞的数据库的内容 。这让我们能发现不仅在标准BOM（即列出的组件的dpkg -l或安装yum的列表），还有每一个静态链接库来正确识别那些库中已经打过补丁并且回滚到之前有问题的某个版本的组件。

这种方法降低了了之前报告中未经包版本更改但已经修复问题和防止如果有人故意重命名坏包进行分发的情况下的误报率。
为了帮助保护你，Docker Security Scanning 包含对范围广泛的操作系统，包括所有主流的Linux发行版和Windows Server，语言文字和二进制文件的支持。

一旦所有层扫描结束并返回了结果，每一个镜像和标签的详细的BOM将被产生并存储在Docker Security Scanning 的数据库。返回的结果将被发送到Docker Cloud，将连同每一个扫描过的仓库的标签的BOM展示到UI层。

持续监测和通知

扫描镜像的能力提供了给定时间点的洞察力。Docker Security Scanning 迈出很大的一步以通过持续的监控和通知来确保您的镜像保持安全。Docker Security Scanning 的数据库储存着详细的镜像BOM以及相应所有组件的漏洞。当一个漏洞被报告到中央的CVE数据库时，Docker Security Scanning 检查我们的服务数据库去查看哪些镜像和标签包含了受到影响的包并通过邮件提醒仓库的管理员。

这些通知包括漏洞本身相关的信息，列出了那些包含漏洞的仓库和标签。有了这些信息后，通过了解哪些漏洞影响了哪些软件，审查漏洞的严重程度，制定正确的解决方案，IT团队可以主动管理软件合规性。

安全横跨整个内容生命周期

Docker Security Scanning 是Docker工作流上一个令人兴奋的附加产品，帮助企业构建、交付和运行安全软件。和Content Trust（内容真实）相结合后，您可以保证您的软件做你所说的工作，而不会被恶意篡改。

举个例子，官方仓库从 DockerCon EU in Nov 2015 已经开始使用Security Scanning 去处理他们的漏洞配置，修复问题和协同Content Trust分发已更新的镜像。这个特性让Docker可以和上游合作伙伴上合作，为您提供更好更安全的镜像。

可用性和快速入门

Docker Security Scanning 目前可以在Docker Cloud上的私有仓库计划给用户有限时间的免费试用。无论是不是镜像的提交者，你都可以在登录后查看到在Docker Hub的官方镜像的扫描结果。Security scanning 很快将拓展到Docker Datacenter 和 Docker Cloud 的公共仓库用户。

在Docker Cloud体验：

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

转存中…(img-H2EG2b92-1713479752689)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！