前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何在本地使用Docker安全扫描

如何在本地使用Docker安全扫描

作者头像
用户5166556
发布2023-03-18 11:38:15
1.5K0
发布2023-03-18 11:38:15
举报
文章被收录于专栏:让技术和时代并行

DockerSnyk最近建立了合作伙伴关系,以提供容器漏洞扫描。这对您意味着什么?Snyk现在与Docker Hub集成在一起,可以扫描官方镜像。此外,Docker已将Snyk扫描直接集成到Docker Desktop客户端中。

在建立Snyk合作伙伴关系之前,我们没有简单的方法可以在本地扫描容器漏洞。相反,我们必须构建我们的应用程序,并且将其推送到我们的存储库中才能进行漏洞扫描。

最佳做法是将安全性推到最左侧。向左推是什么意思?我第一次听到这个词是在Tanja Janca(又名SheHacksPurple)在苏黎世DevOpsDay的一次演讲中。向左推的想法是尽可能早地在开发过程中集成安全性。我们越早开始进行安全检查,对组织来说就越便宜,更有效。

Docker Scan向我们本地开发环境的方向发展。从DevSecOps的角度来看,这是一项了不起的成就。这样的话,我们可以在推送任何代码之前在本地捕获安全漏洞。

向左推

Docker Scan如何工作?

Docker2.3.6.0或更高版本中包括了一个名为的新命令docker scan。运行docker scan命令时,将根据Snyk安全引擎扫描本地镜像,从而使您可以安全查看本地Dockerfile和本地镜像。

Snyk引擎会扫描镜像或Dockerfiles中的常见漏洞和披露(CVE),并提供有关CVE修复的建议。

如何启动Docker扫描

通过Docker CLI,我们可以启动漏洞扫描。

确保您已安装Docker 2.3.6.0或更高版本

  • 拉出Mongo数据库镜像进行测试 docker pull mongo:latest
  • Mongo镜像进行扫描 docker scan mongo:latest
  • 查看扫描结果

扫描mongo:latest

如何在镜像上启动Docker扫描并引用Dockerfile

扫描镜像和扫描镜像并引用Dockerfile有什么区别?当包括与镜像关联的Dockerfile时,将提供更详细的结果。

  • 克隆linux_tweet_app演示应用程序 git clone https://github.com/vegasbrianc/linux_tweet_app.git
  • 构建并标记镜像: docker build -t linux_tweet_app:1.0 .
  • 扫描镜像: docker scan linux_twee_app:1.0

docker扫描没有Dockerfile参考

请注意,现在的结果表明Dockerfile中的哪个层包含哪个漏洞。

Docker扫描输出选项

关于查看docker扫描的输出,我们有几个不同的选项。您可以以JSON格式或依赖关系树的形式查看结果。必须承认,依赖关系树在确定镜像的结构方面很有用。

Docker扫描摘要

向左推将帮助您的组织在遇到开发或测试环境漏洞之前就发现它们。如前所述,将安全性向左推的越多,节省组织的时间和金钱就越多。通过下面提供的图表描述了国家标准技术研究错误(这也适用于漏洞),修复这些错误的开发成本$80左右。相比之下,如果等到后期上线之后再修复这些错误(漏洞)要花费7600美元。

Docker扫描可帮助我们更快地向左推,发现和缓解漏洞,从而节省了我们的时间和金钱。

基础设施不足对软件测试的经济影响报告NIST 2002年5月

推荐

Loki漫谈

K8S集群模式下fluent-bit日志收集方案设计和实践

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-11-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 云原生技术爱好者社区 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • Docker Scan如何工作?
  • 如何启动Docker扫描
  • 如何在镜像上启动Docker扫描并引用Dockerfile
  • Docker扫描输出选项
  • Docker扫描摘要
  • 推荐
相关产品与服务
容器镜像服务
容器镜像服务(Tencent Container Registry,TCR)为您提供安全独享、高性能的容器镜像托管分发服务。您可同时在全球多个地域创建独享实例,以实现容器镜像的就近拉取,降低拉取时间,节约带宽成本。TCR 提供细颗粒度的权限管理及访问控制,保障您的数据安全。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档