清源 (CleanSource) SCA 推出容器镜像扫描功能

最新推荐文章于 2024-06-30 08:15:00 发布
最新推荐文章于 2024-06-30 08:15:00 发布
阅读量1.3k 收藏
点赞数
分类专栏: 企业新闻 文章标签: 容器 安全 源代码管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sectrend/article/details/125683915
版权

云原生时代,随着 Docker、Kubernetes 技术的成熟,容器化成为了时下最火的开发理念。清源(CleanSource) SCA,在提供完整的 SBOM 输出、准确的安全漏洞扫描和许可证分析的基础上,新增容器镜像安全扫描功能,以保障用户的容器镜像安全。 

清源(CleanSource) SCA,是安势信息研发的一款拥有完全自主知识产权的软件成分分析工具,能够帮助企业降低和管理其应用或容器中因使用开源软件和其他第三方代码(软件)引入的安全、质量与许可证合规性风险。

开源管理包括持续监控影响现有应用程序和容器中新的安全漏洞,清源(CleanSource) SCA 可以帮助使用 Docker(或其他容器)打包与交付部署的团队,确认并验证其容器中使用的开源软件符合企业的安全与合规策略。

在此次发布的新版本中,清源(CleanSource) SCA 支持以下功能:

扫描对象

  • 支持 Docker 镜像仓库,如 DockerHub、Artifactory、Nexus 等

  • 本地 *.tar 包

  • 支持的包管理器数据库格式:apk、dpkg、rpm

扫描结果

  • 提供准确全面的 SBOM(软件物料清单),识别 Docker 镜像中开源软件的成分及其风险

扫描方式

  • 上传使用 docker save -o 保存的本地 tar 包 

  • 指定镜像的 repository 和 tag,工具自动从 docker 仓库中拉取镜像进行扫描

集成能力

  • 支持 CI(如 Jenkins)集成

部署方式

  • 本地部署 

  • SaaS

   

借助清源(CleanSource) SCA,用户可以在任务创建页面触发扫描,快速、准确地获取容器镜像的组件、许可证、漏洞等详细信息,并对镜像进行检测与管理,从而保障您的容器镜像安全。 

容器化技术允许将应用程序以容器的形式交付、部署并对外提供服务,在为软件开发人员和开发团队带来卓越的敏捷性、可迁移性以及成本优化等众多优势的同时,相比于传统的 VM(Virtual Machine, 虚拟机),容器潜在的安全风险会更高。

2020 年国外某公司披露,在对 Docker Hub 中的 400 万个容器镜像分析后,发现其中超过一半的容器镜像存在一个或多个高危漏洞。即使在 Docker Hub 下载的官方镜像中也常常包含了大量的漏洞,而开发人员在使用大量开源框架时更会加剧镜像漏洞的问题。而现有的安全人员对于 DevOps 流程中的镜像完全丧失管理能力,并且也无法像传统的虚拟机扫描去对生产的容器做一定的安全评估。可以说保证容器镜像安全刻不容缓。

作为中国市场领先的软件供应链安全治理工具提供商,安势信息密切关注中国开源软件供应链的安全,高度重视技术创新,致力于保护用户代码的安全与合规。

安势信息将在后续的产品迭代更新中持续发力容器安全方向,为用户的容器安全保驾护航。

 

Sectrend安势信息
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
容器镜像安全扫描之Trivy
WLsweety的博客
02-12 429
Trivy是一种适用于CI的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。Trivy检测操作系统包(Alpine、RHEL、CentOS等)和应用程序依赖(Bundler、Composer、npm、yarn等)的漏洞。Trivy很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器镜像名称。与其他镜像扫描工具相比,例如Clair,Anchore Engine,Quay相比,Trivy在准确性、方便性和对CI的支持等方面都有着明显的优势。
容器安全扫描工具推荐
IDEAL Garden
12-24 766
随着越来越多的应用程序被容器化,容器安全也随之变得越来越重要。在项目的流水线中, 我们可以使用漏洞扫描器进行扫描并提前获得反馈,实现 “安全左移” ,也可以更好的实践敏捷。
Docker镜像安全扫描工具
最新发布
weixin_46931022的博客
06-30 1068
镜像容器的最基础的载体,docker是流行的runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像安全决定了容器安全。--skip-java-db-update 同样java 的漏洞库,每周四凌晨自动更新,也是存在github上,以使用–skip-java-db-update 跳过这一过程。--severity CRITICAL , 指定扫描的严重程度,分为,CRITICAL[紧急],HIGH[高的],MEDIUM[中等],LOW[低的]
容器安全-镜像扫描
a38417的博客
04-27 1188
容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。针对镜像风险问题,有效提升镜像扫描能力是关键。根据目前权威的市场调查数据显示,72% 客户的容器规模为 100 个以上,4% 客户的容器规模超 5000 个,部署小规模容器的客户已经相当普遍,容器使用率迎来新增长。举个例子,就像我们每天做的核酸检测一样,社区会对每一个人做核酸检测,社区就相当与一个镜像仓库,每一个人就相当于一个镜像文件,发现病例,就地隔离,防止病毒传播。
实践「容器镜像扫描」,Get 云原生应用的正确打开方式
GitLab 中国发行版
05-18 302
系统性提高软件交付的安全性。
Fortify SCA rules 2018最新版扫描规则
11-20
Fortify SCA rules 2018最新版扫描规则, 下载可以直接导入, 并提供报告输出, 安全可靠.
tot-asp-scan.zip_Asa Site Sca_tot_文件扫描_网站文件
09-24
本程序可以扫描服务器上的所有指定类型(asp,cer,asa,cdx)的文件,查出可疑的木马程序。系统采用扫描程序与病毒库分离的形式, 以后升级只需像杀毒软件那样升级病毒库就可以了。目前可以查杀所有流行的ASP木马程序。 ...
Fortify-SCA扫描指南
08-01
本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明
Fortify SCASourceCodeAnalysis)安装及使用手册.docx
12-11
Fortify SCASource Code Analysis)安装及使用手册 Fortify SCA 是一款功能强大的源代码分析工具,旨在帮助开发者和安全专家检测和修复代码中的安全漏洞。本文档提供了 Fortify SCA 的安装和使用指南,旨在帮助...
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine ...
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
04-25
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
dockerinspect:容器图像扫描变得简单,可实现持续集成
03-19
Docker检查 容器图像扫描变得简单,可实现持续集成 在开始之前, 确保已安装最新的Docker CLI DockerInspect的一些环境变量 :grimacing_face: DOCKERINSPECT_TARGET_IMAGE必填 带有标签[如果在本地可用,更好的图像名称。如果没有,它将被拉] DOCKERINSPECT_PROJECT_NAME必填 扫描的唯一项目名称,以避免重复的问题 DOCKERINSPECT_DEPENDENCY_SCAN可选 如果还需要考虑应用程序依赖项漏洞,则设置TRUE DOCKERINSPECT_IGNORE_UNFIXED可选 设置为TRUE可忽略未修复的漏洞 如果需要将调查结果同步到问题跟踪器,则需要执行一些其他步骤 :face_with_rolling_eyes: [全部可选] 看看以获得指示 让我们开始吧 :smiling_face_with_sunglasses: 在终端上使用工作目录中的源代码运行以下命令 curl -s https://shibme.gith
linux-ParrotOS的迷你docker容器用于运行自动扫描和测试报告
08-13
Parrot OS的迷你docker容器,用于运行自动扫描和测试报告
镜像漏洞无处藏身,Google推出容器镜像扫描功能
Galaxy_0的博客
02-18 152
镜像漏洞无处藏身,Google推出容器镜像扫描功能
容器镜像安全漏洞扫描-Trivy
因上努力,果上随缘。但行好事,莫问前程。
10-19 595
Trivy(tri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。Trivy 易于使用。
极狐GitLab 容器镜像安全扫描实践【下】
GitLab 中国发行版
05-13 1070
极狐GitLab 容器镜像安全扫描实践
Trivy离线扫描容器安全实践指南
飞翔沫沫情博客
04-19 2169
使用 fanal 漏洞库,快速查询操作系统版本信息trivy 会提取目标镜像的 ImageID,并根据目标镜像记录的生成关系,计算出其基础镜像的 ImageID。然后,在 fanal.db中保存的 ImageID 进行查询。如果命中,就可以快速确基础镜像对应的操作系统、版本信息等信息。解析基础镜像的系统文件,获得操作系统版本信息。
镜像扫描
BJUT_bluecat的博客
06-04 415
https://blog.csdn.net/liumiaocn/article/details/81813707集成clair https://www.jianshu.com/p/447e22ce947c使用clair扫描Docker镜像漏洞 https://www.freebuf.com/column/157784.htmlDocker镜像扫描器的实现 https://blog.csdn....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值