容器镜像静态扫描原理

最新推荐文章于 2024-04-26 16:31:32 发布
最新推荐文章于 2024-04-26 16:31:32 发布
阅读量2k 收藏
点赞数
文章标签: linux ubuntu debian
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31725391/article/details/131156269
版权

前言

有这样一个工具, 可以对镜像进行扫描, 拿出其中包含的软件包、lib库(pip包等)、危险文件等, 并能够识别出哪些包是存在漏洞的. 比如trivy工具. 那么他们是如何做到这件事情的呢?

正好最近在研究这块, 索性就简单谈一谈(其实原理很简单).

获取包含内容

对于镜像的存储, 层之间的关系, 以及如何将多层数据进行聚合, 可以看之前的这篇文章.

扫描单层软件包

扫描单层的数据, 说白了就是文件扫描. 比如:

  1. 获取系统版本
    • etc/os-release文件获取系统版本
    • etc/debian_version文件获取debian的版本
    • etc/lsb-release文件获取ubuntu版本
    • etc/alpine-release文件获取alpine的版本
  2. 获取系统包
    • lib/apk/db/installed文件获取安装的所有apk
    • var/lib/dpkg/status文件获取安装的所有dpkg
  3. 获取依赖库
    • 依据.jar后缀拿到所有jar
    • 依据go.mod文件名获取依赖的库
    • requirements.txt文件拿到依赖的pip
  4. 获取风险文件
    • 通过一些文件识别的扫描库, 可实现对恶意文件的识别. 比如yara

通过对本层所有文件的扫描, 就能够将当前层包含的信息全部拿到了.

多层合并

在拿到每一层的数据之后, 接下来就是将多层的数据进行聚合了. 软件包的聚合规则与文件的聚合规则相同. 可以回这篇文章复习一下文件是如何聚合的.

  1. 覆盖: 对于单文件内容, 上层覆盖下层, 比如:
    • 系统包. apk/dpkg等, 在信息修改后, 其对应的单位件会覆盖
  2. 合并: 将多层内容进行合并. 比如:
    • jar文件, 每层增加一个, 在最后将所有jar包合并到一起
  3. 移除: 之前说过, 当文件删除的时候, 会保留一个without文件. 因此, 当上层将下层内容删除时, 需要在最终聚合的时候去掉.

经过以上步骤, 整个镜像的完整信息就已经拿到了.

识别漏洞

如何识别漏洞呢? 就更简单了, 在本地数据库中维护一份漏洞库, 标识了某个系统的某个软件的某个版本, 存在某个漏洞. 然后拿着匹配到的结果一个一个找就行了.

总结

以上, 就是镜像的静态扫描原理了. 看完之后是不是发现特别的简单?

但其实写起来并没有想象中那么简单, 比如合并的操作就比较繁琐. 不过这里只介绍原理, 知道是怎么回事就行了.

还有一些扫描是动态扫描, 会将镜像启动, 然后通过攻击行为来判断是否存在某种漏洞. 不在本文的说明范围内.

烟草的香味.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-security-scanner:使用CoreOs Clair和Aqua Security MicroScanner扫描Docker容器中已知漏洞的示例项目
05-11
无需在镜像生成后扫描图像(如Clair所做的那样),而是需要在Dockerfile中定义微扫描程序,并在Docker镜像生成期间执行该微扫描程序。 显然,不应部署新创建的docker映像,而应仅将其用于扫描目的,之后可以将其...
远控免杀5---Veil免杀
qq_41683305的博客
03-10 1547
0x01 免杀能力一览表 1、下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12....
漏洞扫描器并非100%靠谱,那么容器镜像安全又当如何保证?
m0_63828240的博客
05-24 1339
长期以来,修补软件漏洞是维护部署代码安全的重要内容。如今,随着传统应用转向云原生容器化部署,打补丁的过程发生了巨大的变化。
Docker安全性(一)——Docker容器真的安全吗?
每一天都有新的希望
12-03 9353
Docker安全性(一)——Docker容器真的安全吗? 本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/7/docker-security-selinux 这篇文章是基于一个演讲中"今年在我DockerCon上的分享":http://v.youku.com/v_show/id_XODQwNjUwNTIw.html。 这将讨论Docker容器的安全性,我们目前正在做什么,和我们将朝哪里走。
容器镜像安全扫描之Trivy
WLsweety的博客
02-12 396
Trivy是一种适用于CI的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。Trivy检测操作系统包(Alpine、RHEL、CentOS等)和应用程序依赖(Bundler、Composer、npm、yarn等)的漏洞。Trivy很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器镜像名称。与其他镜像扫描工具相比,例如Clair,Anchore Engine,Quay相比,Trivy在准确性、方便性和对CI的支持等方面都有着明显的优势。
docker安全
weixin_34346099的博客
10-31 457
作者介绍林伟壕,SecDevOpsor,先后在中国电信和网易游戏从事数据网络、网络安全和游戏运维工作。对Linux运维、虚拟化和网络安全防护等研究颇多,目前专注于网络安全自动化检测、防御系统构建。 在之前的文章《从自身漏洞与架构缺陷,谈Docker安全建设》中,我们介绍了Docker存在的安全问题、整套Docker应用架构的安全基线以及安全规则,重头戏是Docker安全规则的各种思路和方案。 本文...
【质量】镜像漏洞扫描工具Trivy原理和操作
bandaoyu的note
08-22 3487
Trivy 有对 CI 友好的特点,并且官方也以这种方式使用它,想要集成 CI 只需要一段简单的 Yml 配置文件即可,如果发现漏洞,测试将失败。由于在自动化场景(如CI/CD)中,您只对最终结果感兴趣,而不是对完整的报告感兴趣,因此请使用 –light 标志对此场景进行优化,以获得快速的结果。在下面的示例中,仅当发现关键漏洞时,测试才会失败。漏洞扫描工具扫描镜像内的组件/库的包的版本,然后再去官方数据库检索,查看当前镜像内的组件/库的版本有没有官方记录的漏洞,发现有就列出漏洞列表(cve id列表)。
3个镜像构建和扫描的最佳实践
k8scaptain的博客
08-05 212
现代的不可变Linux发行版,如Bottlerocket和Flatcar Container Linux,以及传统Linux发行版的最低版本,如Ubuntu、Red Hat或Alpine,可以用作容器的基础镜像。通过检查容器的文件系统和元数据,然后将收集的数据与来自各种可信来源(如国家漏洞数据库或私人情报来源)的漏洞信息进行比较,容器镜像扫描有助于确定镜像中是否存在漏洞组件。确保镜像扫描工具扫描容器镜像中的所有操作系统包,并且了解应用程序使用的语言,以便能够扫描应用程序依赖关系。...
Harbor仓库镜像扫描原理
chunyusheng2547的博客
10-25 669
harbor仓库中的镜像扫描这个功能,看似很高大上,其实等你了解了它的底层原理与流程,你就会发现就是做了那么一件事而已,用通俗的一句话概括,就是找到每个镜像文件系统中已经安装的软件包与版本,然后跟官方系统公布的信息比对,官方已经给出了在哪个系统版本上哪个软件版本有哪些漏洞,比如...
实践「容器镜像扫描」,Get 云原生应用的正确打开方式
GitLab 中国发行版
05-18 285
系统性提高软件交付的安全性。
容器镜像安全漏洞扫描-Trivy
因上努力,果上随缘。但行好事,莫问前程。
10-19 428
Trivy(tri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。Trivy 易于使用。
网管教程 从入门到精通软件篇.txt
04-25
 注意:这些结果被静态存储,并用于本次会话。如果在本次会话期间磁盘配置发生变化,为获得更新的扫描,必须先重新启动计算机,然后再次扫描磁盘。  bootcfg /list 列出引导列表中已有的条目。  bootcfg /...
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 899
子网ip 与网关。
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 591
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux 学习之路 -- 进程篇 -- 进程控制
2302_79538079的博客
04-24 1033
进程控制的简单介绍
Linux——web服务配置
Xinan_____的博客
04-23 1057
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
docker容器镜像
08-09
Docker容器镜像卷是一种用于在宿主机和容器之间实现文件或目录共享的机制。它可以将宿主机上的文件或目录映射到容器内的指定位置,使得宿主机上的文件可以在容器内进行读写操作。通过使用容器卷,可以实现容器之间对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值