使用clair镜像扫描

最新推荐文章于 2023-12-27 17:57:55 发布
VIP文章 最新推荐文章于 2023-12-27 17:57:55 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: docker drone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aggressive_snail/article/details/106501141
版权

文章目录

目的

执行镜像扫描,扫描镜像仓库的镜像,生成报告

安装clair

操作系统:ubuntu 18.06
docker:18.06.3
docker-compose: docker-compose version 1.25.5, build 8a1c60f6

打开github clair
使用docker-compos启动clair, clair-docker-compose配置下载

$ curl -L https://raw.githubusercontent.com/coreos/clair/master/docker-compose.yaml.sample -o $PWD/docker-compose.yaml
$ mkdir $PWD/clair_config
$ curl -L https://raw.githubusercontent.com/coreos/clair/master/config.yaml.sample -o $PWD/clair_config/config.yaml

配置下载完成后如下

/clair$ tree
.
├── clair_config
│   └── config.yaml
└── docker-compose.yaml

1 directory, 2 files
/clair$ cat docker-compose.yaml 
version: '3.8'

services:
  clair:
    image: quay.io/coreos/clair:latest
    command: -config=/config/config.yaml
    ports:
      - "6060:6060"
      - "6061:6061"
    depends_on:
      - clairdb
    volumes:
      - type: bind
        source: $PWD/clair_config
        target: /config
    networks:
      - clairnet
    restart: on-failure
    extra_hosts:
      - "yourharbor1.com:192.168.1.100"
      - "yourharbor2.com:192.168.1.101"
  clairdb:
    image: postgres:9.6
    networks:
      - clairnet
    environment:
      - POSTGRES_HOST_AUTH_METHOD=trust

networks:
  clairnet:
    driver: bridge

启动,会下载镜像,等待下载完成启动

$ docker-compose -f docker-compose.yaml up -d

启动后docker logs查看clair容器能看到自动从漏洞库下载数据

测试clair健康状态

$ curl -X  GET -I http://clair.ip:6061/health
HTTP/1.1 200 OK
Server: clair
Date: Tue, 02 Jun 2020 09:39:46 GMT
Content-Length: 0

如果要检测私有镜像仓库
clair启动参数需要添加 --insecure-tls

services:
  clair:
    image: quay.io/coreos/clair:latest
    command: [-config=/config/config.yaml, --insecure-tls]

使用clair扫描镜像

klar是一个集成clair和镜像库的工具

Integration of Clair and

最低0.47元/天 解锁文章
Aggressive_snail
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全防护工具之:Clair
知行合一 止于至善
08-09 2万+
Clair是由coreos所推出的一款针对容器的安全扫描的工具,类似于Docker在其收费版中提供的功能那样,能对应用容器的脆弱性进行静态扫描,同时支持APPC和DOCKER。这篇文章会介绍Clair使用方式,Clair的原理,并使用clairctl的客户端演示如何利用clair进行镜像的安全扫描并获取扫描的报告信息。
Docker安全第一话--镜像安全
热门推荐
安全杂货铺
12-26 1万+
Docker镜像安全概述Docker提供了docker hub可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题: 1. 下载镜像是否被恶意植入后门? 2. 镜像所搭建的环境是否本身就包含漏洞? 3. ……Docker容器基于镜像搭建,那么镜像安全则直接决定了容器安全。 所以,对镜像进行安全扫描就变得尤其重要了,接下来,我们docker的镜像安全1. C
clair-compose:具有Docker-Compose的Clair漏洞扫描程序
03-10
克莱尔与Docker-Compose 这是一个简单的项目,通过使用docker-compose来运行clair漏洞扫描程序,从而简化了该项目。 设置 本节介绍如何安装clair和相关工具。 要求 码头工人 运行clair适当的下载器,以为目标OS安装clair-scanner 。 苹果电脑 ./mac-download-clair.sh Linux TODO 视窗 TODO 正在运行的克莱尔扫描仪 要运行clair-scanner,请执行以下步骤。 确保目标图像存在,无论是本地还是远程。 使用docker-compose启动clair数据库资源 docker-compose up -d 在目标图像上启动扫描。 本示例使用alpine:3.5作为目标图像。 ./clair-scanner alpine:3.5
【Docker】clair镜像扫描的实现
阳阳的博客
11-04 3476
clair镜像扫描的实现 一、前言 clair扫描的相关基础请先移步我的另外一篇文章镜像安全扫描工具clairclairctl 这次我们采用clair api方式的扫描,基本思路是 打包镜像 解压tar包至tomcat的ROOT目录,得到每一个镜像的分层文件及描述文...
drone-clair:无人机插件可使用Clair扫描Docker映像
05-02
无人机克莱尔 无人机插件可使用扫描docker图像。 有关用法信息和可用选项的列表,请查看 。 建造 使用以下命令构建二进制文件: go build go test 用法 从工作目录执行: docker run --rm \ jmccann/drone-clair --url http://clair.company.com --username johndoe \ --password mysecret --scan_image python:2.7
clair-scanner:Docker容器漏洞扫描
02-02
克莱尔扫描仪 Docker容器漏洞扫描 当您使用容器(Docker)时,您不仅要打包应用程序,还要打包OS的一部分。 了解容器中可能存在哪些类型的库至关重要。 查找此信息的一种方法是查看Docker注册表[Hub或Quay.io]安全扫描。 这意味着您易受攻击的映像已在Docker注册表中。 您想要做的是将扫描作为CI / CD管道的一部分,以阻止Docker图像推送漏洞: 构建并测试您的应用程序 建造容器 测试容器是否存在漏洞 针对允许的漏洞检查漏洞,如果一切都允许,则通过,否则失败 使用诸如Docker Hub或Quay.io之类的服务时,实现这一简单过程并不容易。 这是因为它们异步工作,这使得执行直接的CI / CD管道变得更加困难。 克莱尔来营救 CoreOS创建了一个很棒的容器扫描工具Clair。 Quay.io也使用Clairclair没有的是一个简单的工具,可以扫描您的图像,并将漏洞与白名单进行比较,以查看漏洞是否被批准。 这是clair-scanner到位的地方。 clair-scanner执行以下操作: 针对Clair服务器扫描图像 将漏洞与白名单进行比较
yair:使用Clair进行安全扫描图像
05-03
耶尔 目录: 介绍 Yair是与进行交互的轻量级命令行工具。 它专为在CI Job中执行而设计,例如确定是否可以将映像部署到生产环境。 它也可以在本地执行而无需太多的努力。 特征: 易于使用 快速扫描 扫描公共和私人图像 图像安全性评分-如果图像具有太多可修复的漏洞,yair的返回码为2 多输出选项: 表输出 短桌 json输出 静音模式 Rocket.Chat输出 入门 配置: 复制此存储库的“ config.yaml.tmpl”并进行更改以适合您的需求。 --- registry : host : " registry.hub.docker.com " clair : host : " localhost:6060 " output : format : table rocketchat : webhook_url : rocket-chat.co
【Docker】镜像安全扫描工具clairclairctl
阳阳的博客
08-12 9662
clair是什么? clair是一个开源项目,用于静态分析appc和docker容器中的漏洞。 漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器的漏洞列表。 clair版本选择 clair选择2.0.1版本 clair安装过程 docker方式 1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6 docker pull ...
(六)Docker-compose harbor
RSQ博客
12-06 663
下载harbor,由于文件过大,下载会需要很长时间 [root@docker-node2 ~]# wget -q https://storage.googleapis.com/harbor-releases/release-1.6.0/harbor-offline-installer-v1.6.2.tgz [root@docker-node2 ~]# ll -h harbor-offline-in...
clair-klar-kubernetes-demo:使用Clair和Klar扫描图像以查找Kubernetes集群中的安全漏洞
04-30
扫描Docker容器中的漏洞 这是一个初学者友好的教程,向用户介绍Docker映像漏洞扫描。 目的是概述扫描Docker映像中的漏洞所涉及的内容,以便您可以将容器扫描任务集成到CI / CD管道中。 在本教程中,我们将使用在Kubernetes集群中的Pod中运行的Clair和Klar设置演示扫描仪系统。 在我们开始之前-让我们谈谈词汇。 我们将讨论Docker,Dockerfiles,容器和映像-有什么区别? Docker是一个“容器运行时”,它使用有助于人类构建,运行和归档容器的工具来包装容器的基本概念。 有许多容器运行时可帮助您运行容器,我们将重点关注Docker。 图像是静态文件,是容器的快照。 图像是根据蓝图(在Docker的情况下为“ Dockerfile ”)构建的,可以存储在注册表中。 从运行开始,该映像会生成一个容器。 Docker容器是一种将应用程序与运行应用程序
123123123
最新发布
yuyanpeng1的博客
12-27 598
1231231
Clair镜像安全扫描工具
qq_44789526的博客
03-09 1423
本文主要描述Clair的部署内容 Install:首先要下载好需要的镜像等文件 # Clone the repo git clone [email protected]:arminc/clair-scanner.git # Build and install cd clair-scanner make build make installLocal # Run ./clair-scanner -h 如有问题,也可根据下面命令或网址自行下载 **https://hub.docker.com/r/arminc/c
Harbor集成Clair镜像安全扫描并手动导入漏洞数据
arnolan的博客
10-21 5696
通过这篇文章,你会了解到: harbor启停方法 clair镜像扫描原理 harbor数据库(MySQL)一览 clair数据库(PostgreSql)一览 harbor手动导入漏洞数据方法 背景 先说明下背景和版本 公司内网使用(无Internet)Harbor:V1.5.0,没有Clair,没有启用https。 需求:开启使用Clair进行镜像安全扫描。 PS:harbor介绍及安装可以...
NeuVector 会是下一个爆款云原生安全神器吗?
KubeSphere
02-18 542
近日一则《SUSE 发布 NeuVector:业内首个开源容器安全平台》的文章被转载于各大 IT 新闻网站。作为 SUSE 家族的新进成员,在 3 个月后便履行了开源承诺,着实让人赞叹。那么 NeuVector 究竟有哪些过人之处能得到 SUSE 的青睐?而对比各安全厂商的开源安全产品又有哪些突破?接下来,我会以一个 SecDevOps 的视角对 NeuVector 进行简要分析。 开源云原生安全产品现状 NeuVector 此次开源的并非某个组件或者安全工具,而是一套完整的容器安全平台。这与其他各大云原生
Clair二次开发指南1——Clair编译与使用
帮助别人等于帮助自己 ——MXi4oyu
11-26 1875
Clair是容器静态漏洞分析器,可以用以评估Docker镜像的安全性。Clair目前共发布了21个release,这里我们使用其第20个release版本,即V2.0.0进行源码剖析。下载地址为:https://github.com/coreos/clair/archive/v2.0.0.zip
clair容器镜像工作流程
georgeliusir的博客
08-22 828
clair工作 主要包括layers,vulnerabilities, fix的操作 过程 提交layer,把name、path和认证提交上去,clair服务器,根据header和path把layer下载下来,clair服务端把镜像下载下来,解压后。 detectContent files, err := imagefmt.Extract(imageFormat, path, ...
记一次 Get “http://localhost:10248/healthz“: dial tcp [::1]:10248: connect: connection refused解决办法
云深海阔专栏
03-09 3059
问题如下 解决办法 cat /etc/docker/daemon.json { "exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "json-file", "log-opts": { "max-size": "100m" }, "storage-driver": "overlay2", "storage-opts": [ "overlay2.override_kernel_check=true
docker镜像漏洞扫描机制
06-13
Docker镜像漏洞扫描机制主要是通过扫描镜像中的软件包和组件,来发现其中可能存在的漏洞。常见的Docker镜像漏洞扫描工具包括: 1. Clair: 由CoreOS开发的开源漏洞扫描器,支持多个镜像仓库。 2. Anchore: 另一个开源漏洞扫描器,支持多个镜像仓库和自定义策略。 3. Trivy: 由Aqua Security开发的轻量级漏洞扫描器,支持多个镜像仓库和多种输出格式。 这些工具会对镜像中的软件包和组件进行扫描,并与已知的漏洞数据库进行比对,从而发现其中可能存在的漏洞。如果发现了漏洞,这些工具会向用户提供警告或建议的修复措施。在Docker镜像构建和部署过程中,使用这些工具可以帮助用户及时发现和修复镜像中的漏洞,提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值