「安定坊」安全卫士-容器漏洞评估
现阶段,我们正在从虚拟化过渡到容器化,一些我们所熟悉的容器化技术就包括了诸如docker或quay.io等。一般来说,我们可以通过配置程序依赖环境来为特定应用程序建立镜像,通常当开发人员使用容器时,它不仅把程序进行了打包,同时也可以将程序封装成操作系统一部分。可糟糕的是,我们不知道容器的连接库是否已打补丁或是否易受到攻击。
因此,今天我们要来展示的是“如何在任何基础架构中进行容器审计以及漏洞评估”。
Clair:针对漏洞的漏扫工具
安装
CoreOS开发了一个很棒的容器扫描工具—Clair。
Clair是一个开源项目,用于静态分析应用程序和Docker容器中的漏洞,使用以下命令可在git的帮助下克隆该软件包。
git clone https://github.com/arminc/clair-scanner.git
Docker镜像漏洞扫描
在本地计算机上运行docker
apt install golang
构建库以安装Clair的所有依赖项
cd clair-scanner
make build
make cross
如果主机中没有docker镜像,那么可以提取一个用于漏洞评估的新镜像如下:
docker pull ubuntu:16.04
在本地端口5432运行docker镜像
docker run -d -p 5432:5432 --name db arminc/clair-db:latest
运行docker image for postgres以链接Clair scan。
docker run -d