专栏首页伪架构师伸手党的容器镜像加固流程

伸手党的容器镜像加固流程

人在江湖飘,哪能不挨刀

说了好几期 CIS 之类的运行时安全问题,K8s 在运行过程中,还有个常见的安全威胁就是镜像漏洞,不少同学都有在实施过程中因为镜像漏洞问题被吊打的经验,今天就结合个人经验,说说镜像漏洞修复的一般流程。

这里主要指的是第三方镜像的修复过程,Scratch 不在此列。

修复任务分析

通常扫描报告会明确指明确切的问题源头、相关软件包、问题版本、修复版本等,首先要根据报告判断修复的目标。修复目标并不一定是固定的,有些情况下可能仅需要修复公开的高危漏洞,有些可能要求更多。

我们都知道,容器镜像是个分层结构,底层通常由操作系统(例如 debian:buster-slim)或者特定运行时(例如 openjdk:16)构成;另外可能构建应用程序,或者直接通过 COPY/ADD 的方式加入应用程序;另外还会通过 CMDENV 等指令设置运行环境等。软件漏洞多发于底层和应用程序层,因此这里需要根据扫描报告,确认我们的修复目标。

软件配置问题也可能造成漏洞,可以另行讲解。

应用层漏洞

如果要修复的问题是处于应用层,就要判断该镜像是否为官方镜像,如果答案是肯定的,则可以直接更新官方镜像,通常同一个大版本下的小版本更新,都是兼容的,可以更新之后直接进行测试和复查。

如果官方没有针对性的修复,或者镜像并未更新,就可能需要自己构建镜像了。

如果是开源软件,强烈建议提交 Issue 或者 PR

基础层漏洞

如果是基础层漏洞,除了可以像应用层修复一样,检查版本更新之外,还有另一个选项,就是更换不同的基础层,例如从 Debian 更换为 Ubuntu,这种方式对于 all-in-one 形式的应用(例如大多数用 golang 构建的应用)尤其有效,如果应用程序依赖众多,就不合适了。另外众所周知,Alpine 和我们常用的发行版差异较大,因此也不太合适直接切换。

镜像构建

是不是就一个 docker build 就可以了?多数时候是的。不过要分成几种情况。

  • Dockerfile 的情况
    • 官方已经发布二进制物料:这种情况通过修改 Dockerfile 加入更新的二进制文件之后,执行 docker build 即可。
    • 官方未发布二进制物料:这种就需要根据源码进行构建,然后再生成 Docker 镜像。
  • 没有 Dockerfile 的情况
    • 有的软件源码中通过 Makefile 等方式提供了从二进制到镜像的构建方法,通常需要在 README.md 或者 BUILD.md 中查找线索。
    • 更换底层的情况,通常需要自己照猫画虎,重新编写 Dockerfile。
    • 还有一种比较尴尬的情况——有二进制物料,但是没 Dockerfile,这种我通常会使用 docker cp->docker commit 的不入流方式。
    • 另外一种尴尬情况就是,官方只提供了 Docker 镜像,但是我们想要换掉基础层,这种情况和上面类似,用 docker cp 把官方镜像中的应用文件复制出来即可。

复测

在完成修复步骤之后,可以针对性地进行复测,查看修复情况,循环往复直到完成目标为止。

本文分享自微信公众号 - 伪架构师(fake-architect),作者:崔秀龙

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-09-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Funny Kind

    事实上我们编写的 config.yaml,在文末的命令行中并没有引用,所以其中的快速安装的结果完全是 Kind 的功劳,和之前的证书操作、镜像操作没有一毛钱的关...

    崔秀龙
  • K8S 分布式构建 Docker 镜像的一些小技巧

    崔秀龙
  • (译)用 Notary 和 OPA 在 Kubernetes 上使用内容签名

    我们希望借助本文,让读者了解到如何在 Kubernetes 中使用可信镜像,其中依赖两个著名的 CNCF 开源项目:Notary 和 OPA。主要思路是使用 O...

    崔秀龙
  • 精简docker镜像的建议

    因为公司业务需求,需要到客户现场部署我们代码的离线环境,因为各大银行和运营商所提供的底层系统各不相同,代码不一定能运行的起来,所以我们就采用了docker版的离...

    张琳兮
  • 精简docker镜像的建议

    因为公司业务需求,需要到客户现场部署我们代码的离线环境,因为各大银行和运营商所提供的底层系统各不相同,代码不一定能运行的起来,所以我们就采用了docker版的离...

    张琳兮
  • 三个技巧,将Docker镜像体积减小90%【面试+工作】

    在构建Docker容器时,应该尽量想办法获得体积更小的镜像,因为传输和部署体积较小的镜像速度更快。

    Java帮帮
  • docker 仓库里面python好多tag都代表什么意思?我们该如何选择

    今天让我同事帮忙构建一个基于python代码的docker包,然后他问我使用那个底层镜像,我说你直接去docker hub上找一个,他打开之后问我这么多我该使用...

    张琳兮
  • docker 仓库里面python好多tag都代表什么意思?我们该如何选择

    今天让我同事帮忙构建一个基于python代码的docker包,然后他问我使用那个底层镜像,我说你直接去docker hub上找一个,他打开之后问我这么多我该使用...

    张琳兮
  • 编写Dockerfile的最佳实践

    虽然 Dockerfile 简化了镜像构建的过程,并且把这个过程可以进行版本控制,但是很多人构建镜像的时候,都有一种冲动——把可能用到的东西都打包到镜像中。这种...

    KevinYan
  • Docker 镜像仓库为什么要分库分权限?

    场景:某大型互联网电商公司,使用一个镜像仓库管理所有Docker镜像。开发者打出的镜像上传到唯一的镜像库,测试通过后,运维环境的 Kubernetes 直接从这...

    JFrog杰蛙科技

扫码关注云+社区

领取腾讯云代金券