基于trivy获取基础镜像

已于 2022-10-12 20:48:11 修改
阅读量582 收藏
点赞数
分类专栏: golang docker 安全 文章标签: golang docker 后端
于 2022-07-31 11:33:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoguangwu/article/details/126083594
版权
安全 同时被 3 个专栏收录
51 篇文章 0 订阅
订阅专栏
golang
44 篇文章 0 订阅
订阅专栏
docker
26 篇文章 1 订阅
订阅专栏
该博客展示了如何使用Trivy工具扫描Docker镜像nginx:latest的安全漏洞。通过运行命令,获取了镜像的详细信息,包括其基于的Debian Bullseye操作系统版本、构建历史等,并输出了扫描后的安全报告。
摘要由CSDN通过智能技术生成 
package main

import (
	"context"
	"encoding/json"
	"flag"
	"fmt"
	"github.com/aquasecurity/trivy/pkg/commands/artifact"
	flag2 "github.com/aquasecurity/trivy/pkg/flag"
)

func main() {
	var (
		srcName string
	)
	flag.StringVar(&srcName, "src", "", "镜像名")
	flag.Parse()
	fmt.Println(srcName)
	ctx := context.Background()
	cliOpt := flag2.Options{}
	cliOpt.Target = srcName
	r, err := artifact.NewRunner(ctx, cliOpt)
	if err != nil {
		fmt.Println("artifact.NewRunner err:", err.Error())
		return
	}

	defer r.Close(ctx)
	report, err := r.ScanImage(ctx, cliOpt)
	if err != nil {
		fmt.Println("ScanImage err:", err.Error())
		return
	}
	data, _ := json.Marshal(report)
	fmt.Println(string(data))
}

运行:

./base_image -src nginx:latest

nginx:latest
{"SchemaVersion":2,"ArtifactName":"nginx:latest","ArtifactType":"container_image","Metadata":{"OS":{"Family":"debian","Name":"11.4"},"ImageID":"sha256:41b0e86104ba681811bf60b4d6970ed24dd59e282b36c352b8a55823bbb5e14a","DiffIDs":["sha256:43b3c4e3001c662d1c264ffb132f4e52950893452b15508df810214f1d3f124b","sha256:1c99a7efe9d92fa6e492787de8a3278bc7fbedf371fae96029fda8bb0910f873","sha256:305b0db3a2102757e5eddaf791cdc5e8f6d21dd9fff931230e51a3dc724bb19d","sha256:c03189a5ef7018a691b7ef5970737127f07cce7df283ca3d9b32a00838058990","sha256:1d561d93862806928bb7c99fea4035804ab7e86aa66ae8b547e5cde6856fb5db","sha256:de100bd247e00374c0614bcd52615b847ffb36eebf07d87a3158a41703385867"],"RepoTags":["nginx:latest"],"RepoDigests":["nginx@sha256:db345982a2f2a4257c6f699a499feb1d79451a1305e8022f16456ddc3ad6b94c"],"ImageConfig":{"architecture":"amd64","container":"6fdddc3714ed390e2273b770258aef03b173b6f1be7221ab94f7ab673b7224c8","created":"2022-07-12T05:00:50.081423817Z","docker_version":"20.10.12","history":[{"created":"2022-07-12T01:20:10Z","created_by":"/bin/sh -c #(nop) ADD file:d978f6d3025a06f5142a0c13c98bf12fbd47cdf9162ed31fbc05c86983b0a679 in / "},{"created":"2022-07-12T01:20:10Z","created_by":"/bin/sh -c #(nop)  CMD [\"bash\"]","empty_layer":true},{"created":"2022-07-12T05:00:30Z","created_by":"/bin/sh -c #(nop)  LABEL maintainer=NGINX Docker Maintainers \u003cdocker-maint@nginx.com\u003e","empty_layer":true},{"created":"2022-07-12T05:00:30Z","created_by":"/bin/sh -c #(nop)  ENV NGINX_VERSION=1.23.0","empty_layer":true},{"created":"2022-07-12T05:00:30Z","created_by":"/bin/sh -c #(nop)  ENV NJS_VERSION=0.7.5","empty_layer":true},{"created":"2022-07-12T05:00:30Z","created_by":"/bin/sh -c #(nop)  ENV PKG_RELEASE=1~bullseye","empty_layer":true},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c set -x     \u0026\u0026 addgroup --system --gid 101 nginx     \u0026\u0026 adduser --system --disabled-login --ingroup nginx --no-create-home --home /nonexistent --gecos \"nginx user\" --shell /bin/false --uid 101 nginx     \u0026\u0026 apt-get update     \u0026\u0026 apt-get install --no-install-recommends --no-install-suggests -y gnupg1 ca-certificates     \u0026\u0026     NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62;     found='';     for server in         hkp://keyserver.ubuntu.com:80         pgp.mit.edu     ; do         echo \"Fetching GPG key $NGINX_GPGKEY from $server\";         apt-key adv --keyserver \"$server\" --keyserver-options timeout=10 --recv-keys \"$NGINX_GPGKEY\" \u0026\u0026 found=yes \u0026\u0026 break;     done;     test -z \"$found\" \u0026\u0026 echo \u003e\u00262 \"error: failed to fetch GPG key $NGINX_GPGKEY\" \u0026\u0026 exit 1;     apt-get remove --purge --auto-remove -y gnupg1 \u0026\u0026 rm -rf /var/lib/apt/lists/*     \u0026\u0026 dpkgArch=\"$(dpkg --print-architecture)\"     \u0026\u0026 nginxPackages=\"         nginx=${NGINX_VERSION}-${PKG_RELEASE}         nginx-module-xslt=${NGINX_VERSION}-${PKG_RELEASE}         nginx-module-geoip=${NGINX_VERSION}-${PKG_RELEASE}         nginx-module-image-filter=${NGINX_VERSION}-${PKG_RELEASE}         nginx-module-njs=${NGINX_VERSION}+${NJS_VERSION}-${PKG_RELEASE}     \"     \u0026\u0026 case \"$dpkgArch\" in         amd64|arm64)             echo \"deb https://nginx.org/packages/mainline/debian/ bullseye nginx\" \u003e\u003e /etc/apt/sources.list.d/nginx.list             \u0026\u0026 apt-get update             ;;         *)             echo \"deb-src https://nginx.org/packages/mainline/debian/ bullseye nginx\" \u003e\u003e /etc/apt/sources.list.d/nginx.list                         \u0026\u0026 tempDir=\"$(mktemp -d)\"             \u0026\u0026 chmod 777 \"$tempDir\"                         \u0026\u0026 savedAptMark=\"$(apt-mark showmanual)\"                         \u0026\u0026 apt-get update             \u0026\u0026 apt-get build-dep -y $nginxPackages             \u0026\u0026 (                 cd \"$tempDir\"                 \u0026\u0026 DEB_BUILD_OPTIONS=\"nocheck parallel=$(nproc)\"                     apt-get source --compile $nginxPackages             )                         \u0026\u0026 apt-mark showmanual | xargs apt-mark auto \u003e /dev/null             \u0026\u0026 { [ -z \"$savedAptMark\" ] || apt-mark manual $savedAptMark; }                         \u0026\u0026 ls -lAFh \"$tempDir\"             \u0026\u0026 ( cd \"$tempDir\" \u0026\u0026 dpkg-scanpackages . \u003e Packages )             \u0026\u0026 grep '^Package: ' \"$tempDir/Packages\"             \u0026\u0026 echo \"deb [ trusted=yes ] file://$tempDir ./\" \u003e /etc/apt/sources.list.d/temp.list             \u0026\u0026 apt-get -o Acquire::GzipIndexes=false update             ;;     esac         \u0026\u0026 apt-get install --no-install-recommends --no-install-suggests -y                         $nginxPackages                         gettext-base                         curl     \u0026\u0026 apt-get remove --purge --auto-remove -y \u0026\u0026 rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list         \u0026\u0026 if [ -n \"$tempDir\" ]; then         apt-get purge -y --auto-remove         \u0026\u0026 rm -rf \"$tempDir\" /etc/apt/sources.list.d/temp.list;     fi     \u0026\u0026 ln -sf /dev/stdout /var/log/nginx/access.log     \u0026\u0026 ln -sf /dev/stderr /var/log/nginx/error.log     \u0026\u0026 mkdir /docker-entrypoint.d"},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c #(nop) COPY file:65504f71f5855ca017fb64d502ce873a31b2e0decd75297a8fb0a287f97acf92 in / "},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c #(nop) COPY file:0b866ff3fc1ef5b03c4e6c8c513ae014f691fb05d530257dfffd07035c1b75da in /docker-entrypoint.d "},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c #(nop) COPY file:0fd5fca330dcd6a7de297435e32af634f29f7132ed0550d342cad9fd20158258 in /docker-entrypoint.d "},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c #(nop) COPY file:09a214a3e07c919af2fb2d7c749ccbc446b8c10eb217366e5a65640ee9edcc25 in /docker-entrypoint.d "},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c #(nop)  ENTRYPOINT [\"/docker-entrypoint.sh\"]","empty_layer":true},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c #(nop)  EXPOSE 80","empty_layer":true},{"created":"2022-07-12T05:00:49Z","created_by":"/bin/sh -c #(nop)  STOPSIGNAL SIGQUIT","empty_layer":true},{"created":"2022-07-12T05:00:50Z","created_by":"/bin/sh -c #(nop)  CMD [\"nginx\" \"-g\" \"daemon off;\"]","empty_layer":true}],"os":"linux","rootfs":{"type":"layers","diff_ids":["sha256:43b3c4e3001c662d1c264ffb132f4e52950893452b15508df810214f1d3f124b","sha256:1c99a7efe9d92fa6e492787de8a3278bc7fbedf371fae96029fda8bb0910f873","sha256:305b0db3a2102757e5eddaf791cdc5e8f6d21dd9fff931230e51a3dc724bb19d","sha256:c03189a5ef7018a691b7ef5970737127f07cce7df283ca3d9b32a00838058990","sha256:1d561d93862806928bb7c99fea4035804ab7e86aa66ae8b547e5cde6856fb5db","sha256:de100bd247e00374c0614bcd52615b847ffb36eebf07d87a3158a41703385867"]},"config":{"Cmd":["nginx","-g","daemon off;"],"Entrypoint":["/docker-entrypoint.sh"],"Env":["PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin","NGINX_VERSION=1.23.0","NJS_VERSION=0.7.5","PKG_RELEASE=1~bullseye"],"Image":"sha256:bcdd0667cf621a29e893be9968d0bad14ccaae14a0b3f91d9c07371bf6f64cd2","Labels":{"maintainer":"NGINX Docker Maintainers \u003cdocker-maint@nginx.com\u003e"},"StopSignal":"SIGQUIT"}}}}

结果为debian

我们运行docker命令来看:

docker run --rm --entrypoint /bin/sh  nginx:latest -c 'cat /etc/*-release'

输出如下:

PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"
NAME="Debian GNU/Linux"
VERSION_ID="11"
VERSION="11 (bullseye)"
VERSION_CODENAME=bullseye
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"

也是debian

guoguangwu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 教程之获取镜像基础知识详解
09-30
主要介绍了Docker 教程之获取镜像详解的相关资料,需要的朋友可以参考下
trivy 获取基础镜像源码分析
guoguangwu的专栏
07-31 781
trivy 获取基础镜像源码分析
容器镜像安全扫描之Trivy
Innocence_0的博客
02-19 1447
容器镜像安全扫描之Trivy
【送书活动第1期】2024最新!依赖扫描神器Trivy的详细使用教程(Jar/Maven/docker images镜像)(文末送书)
最新发布
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
04-22 2403
Trivy是一款全面的多功能安全扫描器。Trivy 扫描器可以查找安全问题,并能在发现问题的地方锁定目标。可以扫描javax项目依赖,支持jar包依赖扫描以及docker镜像扫描,非常方便,利于安全人员进行代码审计,推动漏洞修复或者渗透测试。
Docker基础:查找镜像和运行容器
weixin_33719619的博客
07-18 665
【编者的话】本文是作者学习Docker的笔记,涉及在Windows上的安装,介绍了镜像和容器的知识和基本操作,适合Docker初学者。 【3 天烧脑式容器存储网络训练营 | 深圳站】本次培训以容器存储和网络为主题,包括:Docker Plugin、Docker storage driver、Docker Volume Pulgin、Kubernetes Storage机制、容器网络实现原理和模型、...
深入理解Docker镜像的构建过程
Docker镜像基础概念 ## 1.1 什么是Docker镜像Docker镜像Docker容器的基础,它包含了运行容器所需的所有文件系统内容、配置参数、以及元数据信息。实际上,Docker镜像是一个多层文件系统,每一层都表示一个文件...
镜像安全性检查与修复方法介绍
镜像安全性指的是在软件开发中镜像文件的安全性问题,主要包括镜像内部是否存在恶意代码、是否存在漏洞和是否来源可靠等方面。 ## 1.2 镜像安全性的重要性 镜像安全性的重要性不言而喻,一旦镜像文件存在安全漏洞...
深入理解Docker镜像:构建与管理实践
Docker镜像Docker容器的基础,它是一个独立的、可执行的软件包,包含了运行应用程序所需的一切:代码、运行环境、系统工具、库文件等。Docker镜像使用分层的文件系统构建,并且具有轻量级和可移植性的特点。 ## ...
镜像漏洞扫描-Trivy
云原生运维
12-25 1454
Trivy 概述 Trivytri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。 软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。 Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。 此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。 Tri
Trivy + Harbor实现镜像漏洞的简单、高效扫描
风水道人
10-30 1466
Trivy + Harbor实现镜像漏洞的简单、高效扫描
Trivy安装和使用示例
08-25 2309
Trivy offical link: https://aquasecurity.github.io/trivy/v0.19.2/getting-started/overview/ Install Steps: wget https://github.com/aquasecurity/trivy/releases/download/v0.19.2/trivy_0.19.2_Linux-64bit.deb sudo dpkg -i trivy_0.19.2_Linux-64bit.deb trivy -h
dockerdockerFile(解决hosts,hostname问题)
热门推荐
libo222的博客
09-26 4万+
以前自己使用docker的方式都是直接使用镜像来进行创建,今天尝试了一下使用dockerfile来进行创建,发现似乎这才更加符合docker的思想-----在原始镜像上面添加改动层,然后更具改动创建自己的镜像文件。(不知道理解是否有错误)。首先我们来了解一些dockerfile的基本语法: 在Dockerfile中用到的命令有 FROM FROM指定一个基础镜像, 一般情况下一个可用的
容器镜像安全漏洞扫描-Trivy
因上努力,果上随缘。但行好事,莫问前程。
10-19 614
Trivytri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。Trivy 易于使用。
Docker 查看镜像信息
CSDN博客
01-09 2万+
本文中,我们将需要学习 Docker 如何查看镜像信息 一、images 命令列出镜像 通过使用如下两个命令,列出本机已有的镜像docker images 或: docker image ls 如下图所示: 对上述红色标注的字段做一下解释: REPOSITORY: 来自于哪个仓库; TAG: 镜像的标签信息,比如 5.7、latest 表示不同的版本信息; IMAG...
linux 查看docker镜像,docker基础:本地镜像管理相关命令,docker查看镜像命令
weixin_39617502的博客
05-13 3719
docker基础:本地镜像管理相关命令,docker查看镜像命令blog:https://www.cnblogs.com/Rohn/目录本地镜像管理列出本地镜像删除本地镜像标记本地镜像使用DockerFile创建镜像查看指定镜像的创建历史镜像保存镜像导入从归档文件中创建镜像从容器修改中创建新镜像本地镜像管理docker images: 列出本地镜像docker rmi:删除本地镜像docker...
如何选择Docker基础镜像
锐意工作室
07-09 3万+
如何选择Docker基础镜像 镜像官网 操作系统基础镜像 busybox Alpine CentOS Ubuntu Debian 编程语言基础镜像 Java基础镜像 Python基础镜像 NodeJs基础镜像 应用基础镜像 Nginx基础镜像 Tomcat基础镜像 Jetty基础镜像 其它基础镜像例子 Maven基础镜像 Jenkins基础镜像 GitLab基础镜像 ...
docker 基础命令操作 镜像以及容器的基本操作演示
鸭鸭的博客
08-05 3134
tomcat启动后’,可以通过页面访问到默认页面,可以更加直观的显示出来;我们就以tomcat为例,对镜像,容易的基础操作进行演示; 1.查询镜像命令 docker search tomcat , 运行后,出现一个列表,表头的相关信息,看名字,可以很容易的理解,分别是:名称,描述,星(类似github上的stars),是否官方镜像,是否自动装配 这个是通过命令行查询,下面,通过dock...
docker简单封装镜像、删除镜像、查看镜像信息,查看容器id
三个火枪手的博客
07-18 2303
首先是要在本地安装docker,因为我是在集群上操作的,所以跳过docker安装过程。docker封装自己的镜像主要分为以下几个步骤: 拉取基础镜像docker pull ) 以基础镜像启动一个容器并进入(docker run ) 在容器内安装自己所需要的库、包 退出容器并封装成一个镜像docker commit ) 上传镜像docker push ) 1、拉取基础镜像 使用docker images查看所有镜像信息。 然后使用docker pull拉取所需镜像,拉取的镜像名字是 reposit
Dockerfile基础:创建镜像的指令详解
1. `FROM`:这是第一条且必需的指令,用于指定新镜像所基于的基础镜像。例如,`FROM centos:7`表示镜像基础是CentOS 7。 2. `MAINTAINER`:提供镜像的维护者信息,这对于版本控制和责任追踪非常重要。 3. `RUN`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值