专注docker安全 Security Scanning_docker security scanning

于 2024-04-28 23:53:04 发布
阅读量212 收藏 10
点赞数 5
分类专栏: 程序员 文章标签: docker 安全 eureka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84264692/article/details/138295454
版权
导读Docker毫无疑问是近期运维同学们的热点话题,Docker安全也由此倍受重视,Docker Security Scanning 是一款Docker镜像扫描的安全工具,目前已经在Docker Cloud投入使用。

今天我们宣布 Docker Security Scanning(Docker安全扫描,原名项目鹦鹉螺)全面上市。Security Scanning 目前以一个服务附加在 Docker Cloud 私有仓库和位于Docker Hub的官方仓库。Security Scanning 为您的docker镜像积极地进行风险管理和提供详细的安全配置,并简化软件合规性。Docker Security Scanning 会在您的镜像部署之前进行二进制级别的扫描,提供详细的物料清单(BOM),列出所有的层和组件,持续进行漏洞监控,当发现新的漏洞时提供通知的服务。

repo-details

当您考虑到现代软件的供应链,这通常包括一些不同的开发场景和跨时区的公司里面的IT团队,栈和基础设施去构建、交付和运行应用。应用开发团队最主要的关注点是构建一个最好的应用,并且以尽可能快地交付给客户。然而,软件供应链并不会让开发者停止开发的工作,这是一个持续的循环和迭代,包括与团队共享代码和迁移环境。Docker让应用光滑移植并且默认运行在安全的平台,以确保安全的访问和对安全内容容量的控制。Docker Security Scanning 通过提供在docker镜像内深度搜索以及组件的安全配置去交付安全的内容。此信息在应用的生命周期每个阶段都是有效的。让我们深入了解Docker Security Scanning的细节然后看看它是怎么工作的。

docker-security-scan-frame

Docker Security Scanning 已经在 Docker Cloud(并将在Docker Datacenter)使用,当一个新的镜像推送到仓库时会触发一系列的事件。其服务包括一个扫描触发器,扫描器,一个数据库,插件框架和CVE数据库的验证服务。

深可见性的安全配置文件

当用户/发行商推送一个镜像到Docker Cloud仓库时,Docker Security Scanning的服务会启动。扫描器服务获取到镜像然后将它分离成相应的层和组件。然后这些组件将被送到验证服务跟多个CVE数据库包的名称和版本进行对比,还会对包的内容进行二进制级别的扫描。

最后一点尤为重要,因为这种方式可以确保这个包已经正确的声明。

docker镜像是由多个层构成,每一层可能会有很多的组件/包,每一个包都有相应的名称和版本号。当漏洞报告给CVE数据库时,他们被链接到一个包名和特定的版本号。

docker-cloud-list

许多服务都是直接用包名在存储着有问题的包的数据库的做简单的检查。仅此是不够的,因为它并不能保证回答“什么东西在我的容器中运行?”这个问题。除了检查包的名称,Docker Security Scanning 还对每一层进行二进制级别分析,并且把每个二进制下隐含的标记与已知的内容和版本相匹配,同时会交叉引用已知漏洞的数据库的内容 。这让我们能发现不仅在标准BOM(即列出的组件的dpkg -l或安装yum的列表),还有每一个静态链接库来正确识别那些库中已经打过补丁并且回滚到之前有问题的某个版本的组件。

这种方法降低了了之前报告中未经包版本更改但已经修复问题和防止如果有人故意重命名坏包进行分发的情况下的误报率。
为了帮助保护你,Docker Security Scanning 包含对范围广泛的操作系统,包括所有主流的Linux发行版和Windows Server,语言文字和二进制文件的支持。

一旦所有层扫描结束并返回了结果,每一个镜像和标签的详细的BOM将被产生并存储在Docker Security Scanning 的数据库。返回的结果将被发送到Docker Cloud,将连同每一个扫描过的仓库的标签的BOM展示到UI层。

持续监测和通知

扫描镜像的能力提供了给定时间点的洞察力。Docker Security Scanning 迈出很大的一步以通过持续的监控和通知来确保您的镜像保持安全。Docker Security Scanning 的数据库储存着详细的镜像BOM以及相应所有组件的漏洞。当一个漏洞被报告到中央的CVE数据库时,Docker Security Scanning 检查我们的服务数据库去查看哪些镜像和标签包含了受到影响的包并通过邮件提醒仓库的管理员。

这些通知包括漏洞本身相关的信息,列出了那些包含漏洞的仓库和标签。有了这些信息后,通过了解哪些漏洞影响了哪些软件,审查漏洞的严重程度,制定正确的解决方案,IT团队可以主动管理软件合规性。

安全横跨整个内容生命周期

Docker Security Scanning 是Docker工作流上一个令人兴奋的附加产品,帮助企业构建、交付和运行安全软件。和Content Trust(内容真实)相结合后,您可以保证您的软件做你所说的工作,而不会被恶意篡改。

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84264692
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
security-scan-tool:安全扫描工具
06-14
欢迎来到雅斯卡! 另一个源代码分析器。 它是内部静态安全扫描工具的一个项目。 它从Yasca是一个开源项目,专为扫描安全问题而构建。 如何使用雅斯卡 Yasca可在Windows和Linux平台上使用这两种。 视窗平台 脚步: 第 1 步:下载 Yasca。 第二步:修改plugin.php中的desx.xml路径 第 3 步:yasca ./test 第四步:在浏览器中查看**报告.html ** Linux平台 确保您在使用 Yasca 之前已经安装了 PHP。 并且PHP 版本必须大于 5.4 ( >=5.4 )。 脚步: 第 1 步:下载 Yasca。 第二步:修改plugin.php中的desx.xml路径 第 3 步:chmod 777 ./yasca.sh 第 4 步:sudo ./yasca.sh ./test 第五步:在浏览器中查看**报告.htm
专注docker安全:Security Scanning
weixin_33881753的博客
05-19 121
导读 Docker毫无疑问是近期运维同学们的热点话题,Docker安全也由此倍受重视,Docker Security Scanning 是一款Docker镜像扫描的安全工具,目前已经在Docker Cloud投入使用。   今天我们宣布 Docker Security ScanningDocker安全扫描,原名项目鹦鹉螺)全面上市。Security Scanning...
Docker镜像安全扫描步骤添加到CI/CD管道
DevOps持续集成的博客
11-17 913
使用GitlabCI和Trivy介绍 如今,镜像安全扫描变得越来越流行。这个想法是分析一个Docker镜像并基于CVE数据库寻找漏洞。这样,我们可以在使用镜像之前知道其包含哪些漏洞,因此...
实践「容器镜像扫描」,Get 云原生应用的正确打开方式
GitLab 中国发行版
05-18 285
系统性提高软件交付的安全性。
docker-security-scanner:使用CoreOs Clair和Aqua Security MicroScanner扫描Docker容器中已知漏洞的示例项目
05-11
描述 该示例项目演示了如何在部署之前使用Clair和AquaSec扫描您的Docker容器。 它使用GitLab CI / CD管道来构建,扫描和部署最小的tomcat docker容器。 请注意,tomcat容器仅用于测试目的。 没有生产就绪的容器! Clair和clair-scanner是检查Docker映像是否存在已知漏洞的工具。 两者都是开源的,旨在对容器进行静态分析。 有关两者的更多信息,请参见: 和 。 AquaSec microscanner是一个类似的软件,可在创建过程中扫描docker图像。 可以在这里找到更多信息: 。 无需在镜像生成后扫描图像(如Clair所做的那样),而是需要在Dockerfile中定义微扫描程序,并在Docker镜像生成期间执行该微扫描程序。 显然,不应部署新创建的docker映像,而应仅将其用于扫描目的,之后可以将其删除。 吉比特实验室 该
docker-image-policy:根据策略文件快速验证检查的Docker映像
05-13
docker-image-policy 根据策略文件快速验证检查的Docker映像 用法 在Docker Hub上使用预构建的容器 使用默认 注意: docker inspect期望将映像存储在本地,如果还不是本地,请...Scanning <8672b25e842c4c36f9f75d7
RustScan::robot_face:现代端口扫描仪:robot_face:
02-02
docker pull rustscan/rustscan:2.0.0 yay -S rustscan brew install rustscan :thinking_face: 这是什么? 现代端口扫描仪。 快速查找端口(最快3秒) 。 通过我们的脚本引擎运行脚本(支持Python,Lua,Shell...
Clair-setup-for-docker-image-scanning:用于静态docker图像和容器扫描的Clair设置
02-18
克莱尔为码头工人设置图像扫描 安装 cd clair-container-scanner-config docker-compose up 分析 docker-compose run --rm clair-scanner postgres:latest
ChopChop:ChopChop是一个CLI,可帮助开发人员扫描端点并识别敏感服务文件文件夹的暴露
03-19
劈斩ChopChop是用于在Web应用程序上进行动态应用程序安全性测试的命令行工具,最初由Michelin CERT编写。其目标是扫描多个端点并通过webroot识别服务/文件/文件夹的公开。支票/签名在配置文件中声明(默认情况下: ...
MixewayHub:Mixeway是漏洞扫描程序的安全协调器,可轻松插入与CICD管道的集成。 MixewayHub项目包含一键式docker-compose文件,可从docker hub配置和运行映像
05-06
Mixeway是一个开源软件,旨在简化使用CICD程序实施的项目的安全保证过程。 Mixawey不是另一个漏洞扫描软件,它是安全协调工具。 带有漏洞扫描程序的插件数量: 通过所有可用的功能,Mixeway提供了以下功能: ...
DockerSecurityPlayground:基于微服务的框架,用于研究网络安全和渗透测试技术
05-02
DockerSecurityPlayground Docker Security Playground是一款允许您执行以下操作的应用程序: 创建网络和网络安全方案,以了解网络协议, 规则和安全问题,方法是在PC上安装DSP。 通过模拟漏洞实验室场景来学习渗透测试技术 管理一组docker-compose项目。 DSP的主要目标是学习渗透测试和网络安全性,但其灵活性使您可以创建,构图编辑以及管理所有由docker-compose组成的实验室。 引用这项工作 如果您在研究活动中使用Docker Security Playground,请引用以下由IEEE(电气与电子工程师协会)发布的论文 如何使用 跟随学习如何使用DSP。 您也可以使用文档来了解如何使用DSP。 按照安装和开始步骤运行DSP。 安装与开始 安装DSP要求: Nodejs(v 7或更高版本) 吉特 码头工人 码头工人组
Docker安全工具Clair/Anchore/DockerScan对比测试
武天旭的博客
12-17 7818
一、对比结论 本次对主流的Docker安全自动化扫描工具进行了测试比较,测试比较结果如下表所示: 工具 Clair Anchore DockerScan 工具 Clair Anchore DockerScan 环境搭建 复杂 简单(慢) 简单 安装兼容性 差 好 差 扫描 需要先上传镜像 直接扫描 直接扫描
IBM Security App Scan 资料整理
六月心悸
11-23 3467
这是学习和使用IBM AppScan过程中总结整理的一些资料。 扫描系统操作步骤: 1.去IBM官网下载IBM Security AppScan Standard 产品,然后下载破解文件进行替换。 2.按步骤安装,有的扫描过程可能还要下载WebServer,看具体情况 3.安装成功的话,看需要是否要配置Glass Box,具体方法可以查看AppScan Standard的帮
AppScan安全扫描工具-IBM Security App Scan Standard
热门推荐
学习那点事儿的专栏
06-19 5万+
1、AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高) 工作原理: 1)通过探索了解整个web页面结果 2)通过分析,使用扫描规则库对修改的H...
linux 几个逼格高实用的命令
weixin_30371875的博客
05-23 249
1.xargs [root@gdpsq1x25 log]# find . -type f -name "*.log" |sort -rn./yum.log./sssd/sssd_sudo.log./sssd/sssd_pam.log./sssd/sssd_nss.log./sssd/sssd.log./sssd/sssd_LDAP.log./sssd/ldap_child.log./securi...
Docker 19问题:unable to resolve docker endpoint: ca.pe
月想容的博客
08-29 1万+
描述: 目前docker更新到了19版本,在安装的时候出现以下问题 unable to resolve docker endpoint: Open C:\User\xxx\.docker\machine\machines\default\ca.pem: The system cannot find the path specified. 我个人的情况是: 以前装了VM Stat...
Docker Machine安装以及报错解决方法
echo_Ae的博客
03-21 9254
1、先安装docker-machine 文档:https://docs.docker.com/machine/install-machine/ 2、安装virtualbox 下载地址:https://www.virtualbox.org/wiki/Linux_Downloads 这时候需要你检查一下你的virtualbox是安装好
快速安装可视化IDS系统Security Onion
weixin_33935505的博客
05-28 1235
快速安装可视化IDS系统Security Onion背景:网上有不少关于snort+barnyard2+base搭建IDS的文章,可是当你花费数天时间,还是无法完全安装完成时,及时当你安装完成发现不是你想要的平台式,时间成本如何计算?       为了节约时间,本节为大家介绍的软件叫安全洋葱Security Onion(本文中简称:SO),它和OSSIM一样,是基于Debian Linux的系统,...
docker拉取linux86_64镜像的方法
最新发布
06-07
要拉取Docker的官方Linux x86_64镜像,可以按照以下步骤操作: 1. 打开终端或命令行窗口,运行Docker客户端程序。 2. 输入以下命令来搜索Linux x86_64镜像: ``` docker search linux x86_64 ``` 3. 在搜索...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值