让镜像漏洞无处藏身,Google推出容器镜像扫描功能

已于 2024-01-09 09:59:25 修改
阅读量172 收藏
点赞数
文章标签: 运维 安全 php 网络
于 2023-02-18 15:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Galaxy_0/article/details/129096081
版权

当容器技术已普遍落地在各大公有云服务后,安全性也成为企业能否导入正式环境的关键点。近日,Google公有云推出容器储存库漏洞扫描功能,可以提早在CI/CD阶段中,扫描镜像文件是否存在已知的漏洞,避免开发者将有安全疑虑的镜像,部署至正式环境。这个新推出的漏洞扫描服务,与Google自家的云服务部署工具Cloud Build整合使用下,当开发者将镜像上传至容器储存库时,系统会触发漏洞扫描机制,侦测这些上传的OS打包文件、镜像文件是否有漏洞。同时,此漏洞扫描服务也与GCP平台上的安全控制服务Binary Authorization整合,确保使用者上传、部署于Kubernetes环境的镜像都是来自可信来源、未经手动干预后的镜像。

当系统完成镜像文件扫描程序后,运维同学可以查看扫描后细节信息,包含漏洞严重程度、CVSS分数、目前是否有提供维修更新镜像等。通过内建的过滤机制,运维同学可以根据事件严重性,决定镜像文件更新操作的排期。

目前这款漏洞扫描服务所支持的Linux打包的文件格式包含Ubuntu、Debian、Alpine等操作系统,Google未来还会扩大支持CentOS、RHEL。而如果使用已有的容器安全解决方案如Aqua、Twistlock,未来也能与此服务整合,扩大企业用户的容器安全网。

Google认为,从CI/CD流程中就加强系统安全非常重要,除了能减少时间成本,确保软件开发下游流程的安全性,也能降低风险,「安全管控流程必须是全程自动化,而非使用应急的手动操作。」

图片来源:Google

漏洞扫描服务,可在 CI/CD平台Cloud Build、安全控制服务BinaryAuthorization整合。当开发者上镜像文件,在CI/CD流程要先通过漏洞扫描。接着,以扫描结果为基础,Binary Authorization服务会强制套用管理策略。当镜像通过这两层机制,才被系统认证为安全镜像,可部署于Google Kubernetes环境中。

网络安全基础入门需要学习哪些知识?

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DZQQp6wE-1676655801017)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h1vMIOWT-1676655801017)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tOvueTmU-1676655801018)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KWQR6ssu-1676655801018)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rPnLProq-1676655801019)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

在这里插入图片描述

网络安全苏柒
关注
Docker (二):镜像容器导入导出与私有仓库搭建
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-17 5万+
🟢 Docker (二):镜像容器导入导出与私有仓库搭建
Docker(四):容器数据卷与Dockerfile构建镜像(发布)
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-30 4万+
🟢 Docker(四):容器数据卷与Dockerfile构建镜像(发布)
容器镜像安全扫描之Trivy
WLsweety的博客
02-12 437
Trivy是一种适用于CI的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。Trivy检测操作系统包(Alpine、RHEL、CentOS等)和应用程序依赖(Bundler、Composer、npm、yarn等)的漏洞。Trivy很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器镜像名称。与其他镜像扫描工具相比,例如Clair,Anchore Engine,Quay相比,Trivy在准确性、方便性和对CI的支持等方面都有着明显的优势。
Docker镜像安全扫描工具
最新发布
weixin_46931022的博客
06-30 1279
镜像容器的最基础的载体,docker是流行的runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像安全决定了容器安全。--skip-java-db-update 同样java 的漏洞库,每周四凌晨自动更新,也是存在github上,以使用–skip-java-db-update 跳过这一过程。--severity CRITICAL , 指定扫描的严重程度,分为,CRITICAL[紧急],HIGH[高的],MEDIUM[中等],LOW[低的]
容器安全-镜像扫描
a38417的博客
04-27 1238
容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。针对镜像风险问题,有效提升镜像扫描能力是关键。根据目前权威的市场调查数据显示,72% 客户的容器规模为 100 个以上,4% 客户的容器规模超 5000 个,部署小规模容器的客户已经相当普遍,容器使用率迎来新增长。举个例子,就像我们每天做的核酸检测一样,社区会对每一个人做核酸检测,社区就相当与一个镜像仓库,每一个人就相当于一个镜像文件,发现病例,就地隔离,防止病毒传播。
清源 (CleanSource) SCA 推出容器镜像扫描功能
Sectrend的博客
07-08 1393
清源(CleanSource) SCA,在提供完整的 SBOM 输出、准确的安全漏洞扫描和许可证分析的基础上,新增容器镜像安全扫描功能,以保障用户的容器镜像安全
容器镜像安全漏洞扫描-Trivy
因上努力,果上随缘。但行好事,莫问前程。
10-19 646
Trivy(tri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。Trivy 易于使用
容器镜像安全扫描工具推荐——镜界容器镜像漏洞扫描器可支持与harbor镜像仓库无缝集成
Dosecnews的博客
01-14 6573
镜像安全的解决方案 镜像容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像安全就决定了容器安全。 但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这...
漏洞扫描器并非100%靠谱,那么容器镜像安全又当如何保证?
m0_63828240的博客
05-24 1377
长期以来,修补软件漏洞是维护部署代码安全的重要内容。如今,随着传统应用转向云原生容器化部署,打补丁的过程发生了巨大的变化。
K8S及镜像容器安全架构设计
10-17
* 使用容器扫描(如 Clair)来扫描容器镜像中的安全漏洞。 * 使用签名的容器(如 Notary)来确保容器镜像安全性。 镜像安全 镜像安全是指保护容器镜像免受攻击和篡改。这个过程包括了多个方面: * 持续扫描所有...
极狐GitLab 容器镜像安全扫描实践【下】
GitLab 中国发行版
05-13 1111
极狐GitLab 容器镜像安全扫描实践
容器安全扫描工具推荐
IDEAL Garden
12-24 780
随着越来越多的应用程序被容器化,容器安全也随之变得越来越重要。在项目的流水线中, 我们可以使用漏洞扫描器进行扫描并提前获得反馈,实现 “安全左移” ,也可以更好的实践敏捷。
实践「容器镜像扫描」,Get 云原生应用的正确打开方式
GitLab 中国发行版
05-18 315
系统性提高软件交付的安全性。
容器镜像静态扫描原理
烟草的香味的博客
06-11 2164
以上, 就是镜像的静态扫描原理了. 看完之后是不是发现特别的简单?但其实写起来并没有想象中那么简单, 比如合并的操作就比较繁琐. 不过这里只介绍原理, 知道是怎么回事就行了.还有一些扫描是动态扫描, 会将镜像启动, 然后通过攻击行为来判断是否存在某种漏洞. 不在本文的说明范围内.
生产中的 12 种容器镜像扫描最佳实践
weixin_44100171的博客
08-10 436
作者:Pawan Shankar 翻译:Bach(才云) 校对:bot(才云)、星空下的文仔(才云) 现在很多团队面临着这么一个挑战:如何在不减慢应用交付速度的情况下,管理好安全风险。有种方法可以解决该问题,就是采用安全的 DevOps 工作流程。 安全的 DevOps(也称为 DevSecOps)会在从开发到生产的整个应用程序生命周期中提供安全性以及监控功能,帮助我们交付安全、稳定和高性能的应用程序。如果我们把该工作流程插入现有的工具链中,可以为 DevOps、开发人员和安全团队最大程度地提高效率。 .
生产中的12种容器镜像扫描最佳实践
zhangge3663的博客
08-10 1299
现在很多团队面临着这么一个挑战:如何在不减慢应用交付速度的情况下,管理好安全风险。有种方法可以解决该问题,就是采用安全的 DevOps 工作流程。 安全的DevOps(也称为DevSecOps)会在从开发到生产的整个应用程序声明周期中提供安全性以及监控功能,帮助我们交付安全、稳定和高性能的应用程序。如果我们把该工作流程插入现有的工具链中,可以为DevOps、开发人员和安全团队最大程度地提高效率。 DevSecOps五个基本工作流程包括镜像扫描、运行安全、合规性、Kubernetes和容器的监控以及应
镜像安全扫描工具
11-07 380
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。1、TrivyTrivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。...
Docker镜像容器操作实践详解
本文将详细介绍 Docker 镜像容器的常见操作,涵盖镜像加速器的配置、镜像搜索、镜像下载、镜像删除、容器的创建、启动、停止、删除等操作。 一、镜像加速器的配置 在使用 Docker 时,国内用户可能会遇到从 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值