走近Docker安全扫描器-低调大师

走近Docker安全扫描器

2017-07-02 601

本文是关于一款Docker安全扫描器的一般性使用介绍，其原名为Project Nautilus。它可以作为Docker云私有仓库或者Docker Hub官方仓库的扩展服务，安全扫描会为你的Docker镜像提供主动的风险管理和软件合规管理的详细安全配置信息。

Docker安全扫描在你部署之前可以对你的镜像进行二进制层面的扫描，并提供一个详细的材料清单（BOM）列出所有的层级和组件，不断监控新的漏洞，在新的漏洞出现时推送通知。

当你考虑现代软件供应链时，一个公司会在不同的时段协调一些不同的开发者和IT团队，来建立栈和基础设施，移动和运行软件。App开发团队最关心的就是尽可能快的写好软件并交付给客户。然而，软件供应链并不是以开发者结束，它还需要反复的迭代，在团队之间分享代码，在各个环境之间移动代码。Docker让app无缝移植并且通过安全平台传输，控制安全访问和安全内容。Docker安全扫描提供了深入Docker镜像内部的安全内容，包含内部组件的安全配置。这些信息在app生命周期的每个步骤都是可用的。

让我们深入Docker安全扫描的更多细节，看看它是怎么工作的吧。

Docker安全扫描与Docker云协同使用（还有Docker数据中心），在新的镜像上传到仓库时触发一系列事件。这个服务包含一个扫描触发器，扫描器，数据库，框架插件和连接到CVE数据库的验证服务。

深入查看安全配置

Docker安全扫描服务在用户上传镜像到Dokcer云端仓库时启动。扫描服务将镜像的各个层次和组件进行分离。然后组件发送给校验服务来与CVE数据库一起进行检查，不仅仅包括包名，版本，还包括二进制层面的内容扫描。

最后一步非常重要因为这个方法确保包的正确性。

一个Docker镜像是由许多层组成的，每个层都有许多组件和包，每个包都有相应的名字和版本信息。当漏洞报告给CVE数据库时，他们会跟一个包名和版本信息绑定。

许多服务都只是简单的校验一下包的名字，通过查询数据库中已有问题的方式。这样做是不够的，这不足以回答“容器中运行了什么？”。除了校验包名之外，我们对每个层级的二进制进行分析，然后匹配每个二进制的签名来确定组件和版本信息，然后查看数据库中已知漏洞的引用。这让我们能够找到标准BOM以外的其他组件（比如dpkg –l 或 yum list installed），包括任何静态链接来准确标识组件，这些组件已经发布补丁并且之前报告过漏洞。这个方法降低了误报率，因为相关的包可能已经修复了漏洞但是没有更新版本信息，同时也能防止某些人故意将一个恶意的包进行重命名。

为了提供保护，Docker安全扫描支持大部分的操作系统，包括主流的Linux发行版和windows服务器语言和二进制。

一旦所有东西扫描完成并返回结果，就会生成BOM的细节然后存储到Docker安全扫描数据库，并打上镜像的标签。对于每个扫描报告，结果发送到Docker云然后发表到UI。

持续监控并推送通知

镜像扫描能够实时提供信息。Docker安全扫描持续性的监视和通知推送来保证你的镜像安全。Dokcer安全扫描数据库存储镜像BOM的细节和每个组件的漏洞状态。当一个新的漏洞报告给CVE数据库，Docker安全扫描将会在数据库中查看那个镜像相关的包会受到影响然后推送通知邮件给管理员。

这些推送信息包含漏洞的信息，以及仓库中受影响的目标列表。通过这些信息，IT团队知道哪些软件受影响，从而可以主动进行管理，审视漏洞的严重性并快速做出决策。

整个内容生命周期的安全

Docker安全扫描是一个很棒的Docker工作流来帮助公司构建，迁移和运行安全软件。当与安全内容结合在一起，你可以确保软件的正确性，保证软件没有被篡改。例如，官方仓库从 DockerCon EU in Nov 2015 开始就使用安全扫描来获取漏洞信息，修复问题，用内容信任签名更新镜像。这一特性让Docker能够让上游可以给你提供更安全的镜像。

开始使用

Docker云的用户的私有仓库可以免费使用Docker安全扫描（次数是有限的）。如果你登录了你可以直接查看Docker官方镜像的扫描结果，不管你是不是订阅用户。安全扫描也会扩展Docker数据中心和Docker云给用户。

在Docker云使用：

为了使用这一特性，进入Account Settings >Plans然后勾选。一旦激活，每个私有仓库最常使用的3个目标都会被扫描，BOM结果将会在24小时内显示。然后，docker安全扫描会在你每次上传之后扫描你的镜像。

下面的截图展示了用户的5个私有仓库扫描结果。 Dokcer安全选项在平台的底部。

如果你有一个Docker Hub账户确没有使用过Docker云——别担心！你同样可以登录Dokcer云来工作。原生整合保证你的Docker Hub仓库展示Docker云仓库部分。私有仓库按7美元每个月，可以使用5个私有仓库，并且可以使用Docker云。

本文转自d1net（转载）

微信关注我们

原文链接：https://yq.aliyun.com/articles/122679

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Big Switch监控和数据中心交换架构加速SDN网络转型

SANTA CLARA，CA（2016年6月22日）- Big Switch Networks ，给全球带来超大设计灵感的网络数据中心领导者，今天宣布其基于SDN的 Big Monitoring Fabric 和Big Cloud Fabric 解决方案有了重大更新，新版本提供了重要客户安全监控使用案例、网络功能虚拟化（NFV）、IP存储、最新的开放式以太网交换机的广泛支持。此外，还增强了可视化，故障排除和自动化的网络运营，Big Switch不断加速数据中心网络转型的创新步伐。要了解更多关于Big Monitoring Fabric 5.7和 Big Cloud Fabric 3.6，可注册参加在线研讨会， 6月29日上午10时（PST）：http://go.bigswitch.com/16q2webinarlaunch_reg.html Big Monitoring Fabric新功能亮点包括Big Switch DPDK服务节点的先进功能，增强了out-of-band网络监控服务，实现了全网监控，保证网络的安全性。Big Cloud Fabric更新包括将Red Hat的Ope...

2017-07-03

539

2017年5月18日，在中国云计算技术大会CCTC上，CSDN网站创始人蒋涛表示，人工智能时代的云计算将掀起新的技术浪潮。技术更新催生新一代云应用蒋涛介绍说，PC互联网是最早的技术浪潮，技术浪潮背后的发展是由硬件、操作系统、中间件及应用组成的技术支撑体系，其中互联网的网络设备是核心的发展力量。云的操作系统不再是Windows和Linux，而是OpenStack.云的OS不断地演变和发展是处于快速发展时代。云的中间件从Google的Map Reduce到Hadoop及技术中间件都是基于云的技术体系，至今为止Java的体系结构仍然是所有企业应用当中核心基础，Linux也在PC互联网时代得到了迅速的发展。在技术武器基础之上，产生了新一代云的应用。 AI关键技术是"深度学习" 蒋涛介绍说，2010年人工智能采用传统的计算机视觉技术，2012年举办智能领域图像识别比赛。2010年到2012年在人工智能的技术领域里错误率达到20%以上。直到2013年，Google和百度等顶尖公司采用深度学习来做图像识别，突破了人工智能的技术围墙。表明了AI的最关键技术是"深度学习".新一代的人工智能技术围墙...

2017-07-03

618

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。