如何使用Chainguard保护您的容器部署

最新推荐文章于 2024-10-01 22:05:21 发布
最新推荐文章于 2024-10-01 22:05:21 发布
阅读量899 收藏 21
点赞数 27
文章标签: docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjb520/article/details/137489150
版权
本文介绍了如何使用Chainguard和DockerScout来管理容器镜像的安全性,特别是在模板化和快速部署带来的潜在漏洞风险。作者通过示例展示了如何扫描官方和自定义镜像,强调了定期检查和使用维护良好的镜像版本的重要性。
摘要由CSDN通过智能技术生成

你不需要说服我,容器绝对是虚拟化革命中最棒的东西。我几乎每天都会使用各种类型的容器。

但是,只需一次模板化并到处部署的美妙之处伴随着一个成本:如果模板中的一个单独层包含安全漏洞怎么办?如果那里藏着一个漏洞,你又怎么知道呢?

在本文中,我将向您展示如何使用Chainguard(和Docker Scout)来管理所有您的镜像的安全性。

(本文内容参考:java567.com)

当您传统方式在物理服务器上构建软件基础架构时,您将手动获取并安装每个堆栈元素的每一部分。有可能您会直接从官方源中拉取最新版本的所有内容。至少您会考虑到每一层。

但是,大多数现代容器都是从复杂的模板构建的。复制粘贴代码并启动容器很容易。您可能甚至不知道支持您的应用程序的所有软件。即使您知道,也需要花费数小时研究每个元素,才能了解您的情况。

这就是Chainguard存在的问题。Chainguard提供了许多最受欢迎的容器镜像的维护良好的自定义版本。

当然,您可以自由地拉取,比如,官方的MariaDB镜像到您的Dockerfile中,但是选择Chainguard版本将是一个更安全的选择。这是因为Chainguard不断分析他们的镜像层中的漏洞,并构建尽可能最新和安全的镜像。

让我们看看所有这些在现实世界中是如何运作的。在开始构建新镜像之前,我应该告诉您我们将如何可视化每个镜像的漏洞,以便量化Chainguard的优势。

首先,我应该解释一下基础架构漏洞通常是使用Common Vulnerabilities and Exposures(CVE)系统定义的,该系统基于美国国家标准与技术研究所(NIST)维护的国家漏洞数据库。 CVE系统已经确定并分类了数十万个CVE定义,每个定义根据严重程度进行评级。这个数据库的存在以及一些重要的相关工具允许我们自动化我们的安全评估。

Docker Scout就是其中之一。此页面提供了在Docker Engine上使用Scout的安装说明,但如果您使用Docker Desktop,它应该可以直接运行。curl命令将简单地下载install-scout Bash脚本,这将使一切发生。

curl -fsSL https://raw.githubusercontent.com/docker/scout-cli/main install.sh -o install-scout.sh

如何选择正确的镜像

我创建了一个Dockerfile,它将从Docker Hub拉取官方的MariaDB镜像:

FROM mariadb:latest

ENV MYSQL_ROOT_PASSWORD=my_root_password
ENV MYSQL_DATABASE=my_database

ENV MYSQL_USER=my_user
ENV MYSQL_PASSWORD=my_user_password

我们假设该镜像将用于多层部署,因此我们将创建一个根数据库和密码,以及一个具有自己密码的新用户帐户。可能会有一个应用程序层实例在某个时候使用这些凭据来访问数据库。

无论如何,我将以通常的方式构建镜像,给它命名为mariadb_standard。

docker build -t mariadb_standard .

还有另一个Dockerfile,与第一个相同,只是我们从Chainguard拉取了MariaDB的特殊镜像。

FROM chainguard/mariadb

ENV MYSQL_ROOT_PASSWORD=my_root_password
ENV MYSQL_DATABASE=my_database

ENV MYSQL_USER=my_user
ENV MYSQL_PASSWORD=my_user_password

该镜像来自Docker Hub,但我们也可以轻松地从Chainguard的存储库中拉取它:

docker pull cgr.dev/chainguard/mariadb:latest

以与官方镜像相同的方式构建此镜像。扫描这两个镜像时,您将看到以下内容:

$ docker images
REPOSITORY         TAG       IMAGE ID       CREATED       SIZE
mariadb_cg         latest    50a484d1ded3   7 days ago    556MB
mariadb_standard   latest    67949ccf8eb5   6 weeks ago   405MB

正如您所看到的,Chainguard镜像要大得多。但请注意,它实际上要新得多。

如何扫描您的镜像

现在是时候让docker scout开始工作了。下面是如何进行的。首先我将Scout指向mariadb_standard镜像:

$ docker scout qv mariadb_standard

qv是quickview的简称。

以下是输出的样子:

在这里插入图片描述

docker scout output

标准镜像由三个层组成,首先是Ubuntu 23.10,然后是Ubuntu 22.04长期支持版,最后是MariaDB。Ubuntu有10个低和9个中等漏洞。令人担忧的是,MariaDB层有2个严重和28个高问题。

这应该足以让管理员熬夜了。并且筛选出所有那些确定是阻碍并且哪些对您的环境来说并不是那么重要的漏洞将花费您大量时间。

现在我将Scout运行到Chainguard镜像上:

在这里插入图片描述

首先,我们可以看到这里只有一个层。我怀疑这是Chainguard控制其镜像的一种方式。那两个关键漏洞仍然存在,但是只有5个高严重性漏洞,没有任何中等或低严重性漏洞。

如果您愿意,您可以深入研究以显示所有个别漏洞。以下是使用输出的摘录执行此操作的命令:

$ docker scout cves local://mariadb_cg
    ✗ CRITICAL GHSA-xfg6-62px-cxc2 [OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities]
      https://scout.docker.com/v/GHSA-xfg6-62px-cxc2
      受影响范围: <42.2.8                                         
      修复版本: 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9, 42.2.8  
      CVSS分数: 10.0                                            
      CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H    
    
    ✗ CRITICAL CVE-2024-1597 [Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')]
      https://scout.docker.com/v/CVE-2024-1597
      受影响范围: <42.2.28                                      
      修复版本: 42.2.28                                       
      CVSS分数: 10.0                                          
      CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

我们可以使用标准CVE工具和数据库研究每个漏洞,以更好地了解它们。但是相对于研究标准MariaDB镜像中的28个高严重性漏洞,这将会容易得多。

结论

因此,如果您担心容器镜像的安全性 - 而且您最好担心 - 那么Docker Scout是一个维护您的堆栈可见性的优秀工具。而Chainguard的清洁镜像可以让您获得显着的先机。

(本文内容参考:java567.com)

晓风晓浪
关注
容器中的MySQL数据库修改密码后无法访问的一种情况
小虾米的专栏
06-14 1189
MySQL容器Dockerfile: FROM mariadb:latest ENV TZ "Asia/Shanghai" ENV MYSQL_ROOT_PASSWORD=111111 ENV MYSQL_DATABASE=user COPY my.cnf /etc/mysql/my.cnf ADD invoice.sql /docker-entrypoint-initdb.d/ 在这个...
dockerdocker常见命令
hiliang521的博客
09-30 327
[docker] docker常见命令
docker 常用命令
qq_27683317的博客
09-26 698
docker run --name javaweb -d -p 8090:8090 javaweb:1.0 #运行一个容器。sudo docker rm -f $(sudo docker ps -q) #删除所有容器(包括运行中的)sudo docker rm $(sudo docker ps -a -q) #删除所有未运行的容器。sudo docker rmi $(docker images -q) #删除所有镜像。docker logs -f -t --tail=100 es #查看最后n行日志。
docker简介、安装、基础知识
2301_82330629的博客
09-26 1507
Docker的出现使我们开发的软件可以“带环境安装”,即安装的时候,可以把原始环境一模一样的复制过来,在自己的机器上可以运行,在别人的机器上也可以运行。Docker镜像是分层的,而如果每次传输都使用全量文件(所以用ftp的方式并不适合),显然不经济,必须提供识别分层传输的机制,以层的UUID为标识,确定传输的对象。解析:指定镜像作者信息,即镜像的Author属性。4.Docker是一个轻量级的容器,我们可以把环境交给Docker管理,当我们需要移植我们的产品的时候,就可以将环境整个的迁移到另一台主机上。
使用 Docker 构建 LLaMA-Factory 环境
GDHBFTGGG的博客
10-01 846
使用 Docker 构建 LLaMA-Factory 环境可以简化依赖安装和环境配置。
Docker 安装 ClickHouse 教程
qq_35757427的博客
09-29 466
首先,创建必要的目录用于存放 ClickHouse 的配置、数据和日志文件。
docker和kafka连接Topic失败处理措施
三朝看客
10-01 324
使用 docker 镜像部署一套单节点的 Zookeeper + Kafka,但是一直Java却连不上一些处理思路。启动命令:docker-compose -f kafka.yml up -d。为了提高部署效率,这里提供一个简单可启动的docker-compose。
Docker学习和部署ry项目
ngczx的博客
10-01 897
Docker学习和部署ry项目
Centos7 docker 自动补全命令
生而无畏,战至终章
09-25 474
centos7,docker命令自动补全
Docker的入门详解
HUHUD521的博客
09-30 1262
Docker是一个开源的应用容器引擎,它基于Go语言开发,并遵从Apache2.0协议。Docker允许开发者将他们的应用以及依赖包打包到一个轻量级、可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,同时也可以实现虚拟化。
Docker
m0_73939789的博客
10-01 881
Docker本身包含一个后台服务,我们可以利用Docker命令告诉Docker服务,帮助我们快速部署指定的应用。Docker服务部署应用时,首先要去搜索并下载应用对应的镜像,然后根据镜像创建并允许容器,应用就部署完成了。
基于Dockerfile打包算法镜像
Lee_SmallNorth的博客
09-26 317
start.sh 文件。infer.py文件。
遇到 Docker 镜像拉取失败的问题时该如何解决
weixin_43822401的博客
09-27 962
如果以上步骤都不能解决问题,可以考虑在 Docker 社区、论坛或者 Stack Overflow 提问,提供尽可能多的信息,以便他人帮助你解决问题。如果你在某个地区访问 Docker Hub 有困难,可以尝试使用一个镜像源,如从 Docker Hub 镜像到私有仓库或使用国内的镜像服务。如果拉取私有镜像仓库的镜像,确保仓库被正确地添加到 Docker 的 insecure registry 列表。如果你在使用代理服务器或防火墙,确保它们配置正确,允许 Docker 客户端访问外部网络。
Docker Init 实战详解:从入门到精通
TechEnthusiast的博客
09-27 305
创建一个目录在你的项目中在该目录中添加自定义的 Dockerfile, docker-compose.yml 等模板文件运行时,它会优先使用这些自定义模板。
docker 部署nacos
Good Luck
09-29 384
v /usr/local/nacos/conf/:/home/nacos/conf 文件映射,前边是主机地址,后边是容器地址。-v /usr/local/nacos/logs/:/home/nacos/logs,前边是主机地址,后边是容器地址。-v /usr/local/nacos/data/:/home/nacos/data,前边是主机地址,后边是容器地址。配置文件在映射出来的文件夹中:/usr/local/nacos/conf 下边。--name nacos 自定义容器名称。
使用 Docker 制作 YashanDB 镜像:深度解析与实战指南
最新发布
喵手的博客
10-01 810
在现代软件开发中,数据库管理成为了核心任务之一。为了解决不同环境下的兼容性和部署问题,容器化技术逐渐成为主流,而 Docker 则是其中的佼佼者。使用 Docker 容器来构建、打包和运行应用程序,能够极大地提高开发与部署效率。本文将深入探讨如何为 YashanDB 创建 Docker 镜像,并通过详细的案例展示整个过程,帮助开发者更好地理解和掌握这一技术。YashanDB 是一个轻量级、高性能的数据库,凭借其易用性和扩展性,在众多场景下得到了广泛应用。
Docker仓库搭建
mlh521love的博客
09-27 1225
Docker 仓库(Docker Registry) 是用于存储和分发 Docker 镜像的集中式存储库。它就像是一个大型的镜像仓库,开发者可以将自己创建的 Docker 镜像推送到仓库中,也可以从仓库中拉 取所需的镜像。Docker 仓库可以分为公共仓库和私有仓库: 公共仓库,如 Docker Hub,任何人都可以访问和使用其中的镜像。许多常用的软件和应用都有在 Docker Hub 上提供的镜像,方便用户直接获取和使用
Docker 容器日志记录与管理:日志输出、轮转与配置实践
吃面不喝汤的博客
09-28 505
通过合理配置 Docker 容器的日志驱动和轮转策略,可以有效避免日志文件过大、占用过多磁盘空间的问题。无论是通过全局设置,还是为单个容器定制日志配置,Docker 提供了强大的日志管理能力。确保日志的稳定性和及时清理,是容器化环境中运维的关键一环。通过以上实践,你可以确保 Docker 日志在生产环境中更加可控,满足不同应用场景的需求。
如何通过Dockfile更改docker中ubuntu的apt源
Che_Che_的博客
09-28 291
2.在输入命令“vim Dockerfile”之后,会自动打开这个文件的界面,我们在这个界面里面输入。随便将后面创建的Dockerfile放在一个位置,我这里选择的是 /Desktop。首先明确我们有一个宿主机和一个docker环境,接下来的步骤是基于他们两个完成的。3.找到我们创建的这个Dockerfile文件的同级目录,在这个目录下打开终端。# 更改 apt 源为清华镜像(不要用阿里!文件中的源全部更换为清华大学的镜像源。使用vim前默认你已经安装好了vim。并创建一个新的docker:two。
docker pull报错:dial tcp: no such host
一个程序员的博客
09-28 377
重启docker,下载镜像成功,这个问题就是镜像源失效了,跟DNS没有任何关系,中间甚至怀疑是运营商问题,结果是阿里云域名不可用了,真是不靠谱。有一段时间没用docker了,今天使用docker下载镜像竟然报错,而且是莫名其妙的错误,奔走相告,避免后来者踩坑!排查系统网络NetworkManager、sytemd-resolved不行。直觉认为是GFW或者系统网络配置导致的。现在怀疑是所有的docker镜像源都有问题了,直接修改。修改daemon.json属性dns还是不行。,看了网上各种帖子都不行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值