Wenn Sie mit Containern (Docker) arbeiten, verpacken Sie nicht nur Ihre Anwendung, sondern auch einen Teil des Betriebssystems. Daher ist es wichtig zu wissen, welche Bibliotheken in Ihrem Container anfällig sein könnten. Eine Möglichkeit, diese Informationen zu finden, ist die Verwendung des Docker Hub oder des Quay.io Sicherheitsscans. Das Problem bei diesen Scans ist, dass sie Ihnen nur die Informationen anzeigen, aber nicht Teil Ihres CI/CD sind, das Ihren Container tatsächlich blockiert, wenn er Sicherheitslücken enthält.
Was Sie wollen, ist:
- Erstellen und testen Sie Ihre Anwendung
- Bauen Sie den Container
- Testen Sie den Container auf Schwachstellen
- Prüfen Sie die Schwachstellen auf erlaubte Schwachstellen. Wenn alles erlaubt ist, ist die Prüfung erfolgreich, andernfalls nicht.
Clair zur Rettung
CoreOS hat ein großartiges Container-Scan-Tool namens "clair" entwickelt. Clair wird auch von Quay.io verwendet. Was clair nicht hat, ist ein einfaches Tool, das Ihr Image scannt und die Schwachstellen mit einer Whitelist vergleicht, um zu sehen, ob sie zugelassen sind oder nicht.clair-scanner
Sehen Sie sich hier die vollständige Dokumentation über den clair-scanner an. Hier ein einfaches Beispiel, wie Sie einen Container scannen und prüfen, ob er Sicherheitslücken aufweist:
docker run -p 5432:5432 -d --name db arminc/clair-db:2017-05-05
docker run -p 6060:6060 --link db:postgres -d --name clair arminc/clair-local-scan:v2.0.0-rc.0
Scannen Sie nun einen Container, der ein CVE auf der Whitelist hat:
clair-scanner nginx:1.11.6-alpine example-nginx.yaml https://YOUR_LOCAL_IP:6060 YOUR_LOCAL_IP
Verfasst von
Cristiana
Some bio goes here
Unsere Ideen
Weitere Blogs
Contact
Let’s discuss how we can support your journey.