app
代码层面的漏洞
镜像
- 选择官方认证的基础镜像:要不随便使用其他镜像,可能会恶意植入程序。例如,挖矿程序。
- 镜像的漏洞扫描
容器
- 容器的漏洞扫描
- 容器的实时监控
主机
- Linux Kernel
- Kernel namespaces
- Control groups
Docker 配置扫描
Docker环境的安全检查
Docker Bench for Security:
https://github.com/docker/docker-bench-security
Docker Bench for Security 是一个脚本,用于检查有关在生产中部署 Docker 容器的数十种常见最佳实践。这些测试都是自动化的,并且基于CIS Docker Benchmark v1.3.1。
我们将其作为开源实用程序提供,以便 Docker 社区可以有一种简单的方法来根据此基准测试对其主机和 Docker 容器进行自我评估。
Run from your base host
您只需通过运行以下命令从基本主机运行此脚本:
git clone https://github.com/docker/docker-bench-security.git
cd docker-bench-security
sudo sh docker-bench-security.sh
PASS
通过
INFO
信息
WARN
警告
代码和镜像扫描
漏洞扫描
代码扫描
snyk:https://snyk.io/
镜像扫描
运行监控
防止别人对容器攻击的监控
sysding(收费的):https://sysdig.com/