如何分析docker安全貴工具Security Scanning

這篇文章的內(nèi)容主要圍繞如何分析docker安全貴工具Security Scanning進行講述，文章內(nèi)容清晰易懂，條理清晰，非常適合新手學(xué)習(xí)，值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲！

Docer相比也不用和大家多說了，現(xiàn)在已經(jīng)成了運維人員的一大熱點了，所以docker的安全也非常重要，Docker Security Scanning是一款為了維護Docker鏡像安全的工具。

今天我們宣布 Docker Security Scanning（Docker安全掃描，原名項目鸚鵡螺）全面上市。Security Scanning 目前以一個服務(wù)附加在 Docker Cloud 私有倉庫和位于Docker Hub的官方倉庫。Security Scanning 為您的docker鏡像積極地進行風(fēng)險管理和提供詳細的安全配置，并簡化軟件合規(guī)性。Docker Security Scanning 會在您的鏡像部署之前進行二進制級別的掃描，提供詳細的物料清單（BOM），列出所有的層和組件，持續(xù)進行漏洞監(jiān)控，當(dāng)發(fā)現(xiàn)新的漏洞時提供通知的服務(wù)。

當(dāng)您考慮到現(xiàn)代軟件的供應(yīng)鏈，這通常包括一些不同的開發(fā)場景和跨時區(qū)的公司里面的IT團隊，棧和基礎(chǔ)設(shè)施去構(gòu)建、交付和運行應(yīng)用。應(yīng)用開發(fā)團隊最主要的關(guān)注點是構(gòu)建一個最好的應(yīng)用，并且以盡可能快地交付給客戶。然而，軟件供應(yīng)鏈并不會讓開發(fā)者停止開發(fā)的工作，這是一個持續(xù)的循環(huán)和迭代，包括與團隊共享代碼和遷移環(huán)境。Docker讓應(yīng)用光滑移植并且默認運行在安全的平臺，以確保安全的訪問和對安全內(nèi)容容量的控制。Docker Security Scanning 通過提供在docker鏡像內(nèi)深度搜索以及組件的安全配置去交付安全的內(nèi)容。此信息在應(yīng)用的生命周期每個階段都是有效的。讓我們深入了解Docker Security Scanning的細節(jié)然后看看它是怎么工作的。

Docker Security Scanning 已經(jīng)在 Docker Cloud（并將在Docker Datacenter）使用，當(dāng)一個新的鏡像推送到倉庫時會觸發(fā)一系列的事件。其服務(wù)包括一個掃描觸發(fā)器，掃描器，一個數(shù)據(jù)庫，插件框架和CVE數(shù)據(jù)庫的驗證服務(wù)。

深可見性的安全配置文件

當(dāng)用戶/發(fā)行商推送一個鏡像到Docker Cloud倉庫時，Docker Security Scanning的服務(wù)會啟動。掃描器服務(wù)獲取到鏡像然后將它分離成相應(yīng)的層和組件。然后這些組件將被送到驗證服務(wù)跟多個CVE數(shù)據(jù)庫包的名稱和版本進行對比，還會對包的內(nèi)容進行二進制級別的掃描。

最后一點尤為重要，因為這種方式可以確保這個包已經(jīng)正確的聲明。

docker鏡像是由多個層構(gòu)成，每一層可能會有很多的組件/包，每一個包都有相應(yīng)的名稱和版本號。當(dāng)漏洞報告給CVE數(shù)據(jù)庫時，他們被鏈接到一個包名和特定的版本號。

許多服務(wù)都是直接用包名在存儲著有問題的包的數(shù)據(jù)庫的做簡單的檢查。僅此是不夠的，因為它并不能保證回答“什么東西在我的容器中運行？”這個問題。除了檢查包的名稱，Docker Security Scanning 還對每一層進行二進制級別分析，并且把每個二進制下隱含的標(biāo)記與已知的內(nèi)容和版本相匹配，同時會交叉引用已知漏洞的數(shù)據(jù)庫的內(nèi)容 。這讓我們能發(fā)現(xiàn)不僅在標(biāo)準(zhǔn)BOM（即列出的組件的dpkg -l或安裝yum的列表），還有每一個靜態(tài)鏈接庫來正確識別那些庫中已經(jīng)打過補丁并且回滾到之前有問題的某個版本的組件。

這種方法降低了了之前報告中未經(jīng)包版本更改但已經(jīng)修復(fù)問題和防止如果有人故意重命名壞包進行分發(fā)的情況下的誤報率。
為了幫助保護你，Docker Security Scanning 包含對范圍廣泛的操作系統(tǒng)，包括所有主流的Linux發(fā)行版和Windows Server，語言文字和二進制文件的支持。

一旦所有層掃描結(jié)束并返回了結(jié)果，每一個鏡像和標(biāo)簽的詳細的BOM將被產(chǎn)生并存儲在Docker Security Scanning 的數(shù)據(jù)庫。返回的結(jié)果將被發(fā)送到Docker Cloud，將連同每一個掃描過的倉庫的標(biāo)簽的BOM展示到UI層。

持續(xù)監(jiān)測和通知

掃描鏡像的能力提供了給定時間點的洞察力。Docker Security Scanning 邁出很大的一步以通過持續(xù)的監(jiān)控和通知來確保您的鏡像保持安全。Docker Security Scanning 的數(shù)據(jù)庫儲存著詳細的鏡像BOM以及相應(yīng)所有組件的漏洞。當(dāng)一個漏洞被報告到中央的CVE數(shù)據(jù)庫時，Docker Security Scanning 檢查我們的服務(wù)數(shù)據(jù)庫去查看哪些鏡像和標(biāo)簽包含了受到影響的包并通過郵件提醒倉庫的管理員。

這些通知包括漏洞本身相關(guān)的信息，列出了那些包含漏洞的倉庫和標(biāo)簽。有了這些信息后，通過了解哪些漏洞影響了哪些軟件，審查漏洞的嚴(yán)重程度，制定正確的解決方案，IT團隊可以主動管理軟件合規(guī)性。

安全橫跨整個內(nèi)容生命周期

Docker Security Scanning 是Docker工作流上一個令人興奮的附加產(chǎn)品，幫助企業(yè)構(gòu)建、交付和運行安全軟件。和Content Trust（內(nèi)容真實）相結(jié)合后，您可以保證您的軟件做你所說的工作，而不會被惡意篡改。

舉個例子，官方倉庫從 DockerCon EU in Nov 2015 已經(jīng)開始使用Security Scanning 去處理他們的漏洞配置，修復(fù)問題和協(xié)同Content Trust分發(fā)已更新的鏡像。這個特性讓Docker可以和上游合作伙伴上合作，為您提供更好更安全的鏡像。

可用性和快速入門

Docker Security Scanning 目前可以在Docker Cloud上的私有倉庫計劃給用戶有限時間的免費試用。無論是不是鏡像的提交者，你都可以在登錄后查看到在Docker Hub的官方鏡像的掃描結(jié)果。Security scanning 很快將拓展到Docker Datacenter 和 Docker Cloud 的公共倉庫用戶。

在Docker Cloud體驗：

要嘗試此功能，請轉(zhuǎn)到 帳戶設(shè)置>計劃 并選擇復(fù)選框。一旦被激活，每一個私有倉庫最近三個標(biāo)簽將被掃描，并將24小時內(nèi)由此產(chǎn)生BOM展示在標(biāo)簽部分。隨后，Docker Security Scanning 將在您每次推送時掃描您的鏡像標(biāo)簽。

下面的截圖顯示了5個私有倉庫計劃的用戶的計劃頁。選擇加入到Docker Security Scanning 的復(fù)選框出現(xiàn)在計劃概要的底部。

我們很高興這個，我們讓每一位私人倉庫計劃的客戶免費試用三個月。

如果你有一個Docker Hub 賬戶并且從來沒有試過Docker Cloud，別擔(dān)心，相同的登錄憑證在Docker Cloud同樣可用。原生的集成保證你的Docker Hub 倉庫能在 Docker Cloud 的“Repositories” 部分展示。私有倉庫計劃提供5個私有倉庫，每個月 $7 的服務(wù)已經(jīng)可以在Docker Cloud 上享受了。

感謝你的閱讀，相信你對“如何分析docker安全貴工具Security Scanning”這一問題有一定的了解，快去動手實踐吧，如果想了解更多相關(guān)知識點，可以關(guān)注億速云網(wǎng)站！小編會繼續(xù)為大家?guī)砀玫奈恼拢?/p>