如何分析docker安全貴工具Security Scanning

這篇文章的內容主要圍繞如何分析docker安全貴工具Security Scanning進行講述，文章內容清晰易懂，條理清晰，非常適合新手學習，值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲！

Docer相比也不用和大家多說了，現在已經成了運維人員的一大熱點了，所以docker的安全也非常重要，Docker Security Scanning是一款為了維護Docker鏡像安全的工具。

今天我們宣布 Docker Security Scanning（Docker安全掃描，原名項目鸚鵡螺）全面上市。Security Scanning 目前以一個服務附加在 Docker Cloud 私有倉庫和位于Docker Hub的官方倉庫。Security Scanning 為您的docker鏡像積極地進行風險管理和提供詳細的安全配置，并簡化軟件合規性。Docker Security Scanning 會在您的鏡像部署之前進行二進制級別的掃描，提供詳細的物料清單（BOM），列出所有的層和組件，持續進行漏洞監控，當發現新的漏洞時提供通知的服務。

當您考慮到現代軟件的供應鏈，這通常包括一些不同的開發場景和跨時區的公司里面的IT團隊，棧和基礎設施去構建、交付和運行應用。應用開發團隊最主要的關注點是構建一個最好的應用，并且以盡可能快地交付給客戶。然而，軟件供應鏈并不會讓開發者停止開發的工作，這是一個持續的循環和迭代，包括與團隊共享代碼和遷移環境。Docker讓應用光滑移植并且默認運行在安全的平臺，以確保安全的訪問和對安全內容容量的控制。Docker Security Scanning 通過提供在docker鏡像內深度搜索以及組件的安全配置去交付安全的內容。此信息在應用的生命周期每個階段都是有效的。讓我們深入了解Docker Security Scanning的細節然后看看它是怎么工作的。

Docker Security Scanning 已經在 Docker Cloud（并將在Docker Datacenter）使用，當一個新的鏡像推送到倉庫時會觸發一系列的事件。其服務包括一個掃描觸發器，掃描器，一個數據庫，插件框架和CVE數據庫的驗證服務。

深可見性的安全配置文件

當用戶/發行商推送一個鏡像到Docker Cloud倉庫時，Docker Security Scanning的服務會啟動。掃描器服務獲取到鏡像然后將它分離成相應的層和組件。然后這些組件將被送到驗證服務跟多個CVE數據庫包的名稱和版本進行對比，還會對包的內容進行二進制級別的掃描。

最后一點尤為重要，因為這種方式可以確保這個包已經正確的聲明。

docker鏡像是由多個層構成，每一層可能會有很多的組件/包，每一個包都有相應的名稱和版本號。當漏洞報告給CVE數據庫時，他們被鏈接到一個包名和特定的版本號。

許多服務都是直接用包名在存儲著有問題的包的數據庫的做簡單的檢查。僅此是不夠的，因為它并不能保證回答“什么東西在我的容器中運行？”這個問題。除了檢查包的名稱，Docker Security Scanning 還對每一層進行二進制級別分析，并且把每個二進制下隱含的標記與已知的內容和版本相匹配，同時會交叉引用已知漏洞的數據庫的內容 。這讓我們能發現不僅在標準BOM（即列出的組件的dpkg -l或安裝yum的列表），還有每一個靜態鏈接庫來正確識別那些庫中已經打過補丁并且回滾到之前有問題的某個版本的組件。

這種方法降低了了之前報告中未經包版本更改但已經修復問題和防止如果有人故意重命名壞包進行分發的情況下的誤報率。
為了幫助保護你，Docker Security Scanning 包含對范圍廣泛的操作系統，包括所有主流的Linux發行版和Windows Server，語言文字和二進制文件的支持。

一旦所有層掃描結束并返回了結果，每一個鏡像和標簽的詳細的BOM將被產生并存儲在Docker Security Scanning 的數據庫。返回的結果將被發送到Docker Cloud，將連同每一個掃描過的倉庫的標簽的BOM展示到UI層。

持續監測和通知

掃描鏡像的能力提供了給定時間點的洞察力。Docker Security Scanning 邁出很大的一步以通過持續的監控和通知來確保您的鏡像保持安全。Docker Security Scanning 的數據庫儲存著詳細的鏡像BOM以及相應所有組件的漏洞。當一個漏洞被報告到中央的CVE數據庫時，Docker Security Scanning 檢查我們的服務數據庫去查看哪些鏡像和標簽包含了受到影響的包并通過郵件提醒倉庫的管理員。

這些通知包括漏洞本身相關的信息，列出了那些包含漏洞的倉庫和標簽。有了這些信息后，通過了解哪些漏洞影響了哪些軟件，審查漏洞的嚴重程度，制定正確的解決方案，IT團隊可以主動管理軟件合規性。

安全橫跨整個內容生命周期

Docker Security Scanning 是Docker工作流上一個令人興奮的附加產品，幫助企業構建、交付和運行安全軟件。和Content Trust（內容真實）相結合后，您可以保證您的軟件做你所說的工作，而不會被惡意篡改。

舉個例子，官方倉庫從 DockerCon EU in Nov 2015 已經開始使用Security Scanning 去處理他們的漏洞配置，修復問題和協同Content Trust分發已更新的鏡像。這個特性讓Docker可以和上游合作伙伴上合作，為您提供更好更安全的鏡像。

可用性和快速入門

Docker Security Scanning 目前可以在Docker Cloud上的私有倉庫計劃給用戶有限時間的免費試用。無論是不是鏡像的提交者，你都可以在登錄后查看到在Docker Hub的官方鏡像的掃描結果。Security scanning 很快將拓展到Docker Datacenter 和 Docker Cloud 的公共倉庫用戶。

在Docker Cloud體驗：

要嘗試此功能，請轉到 帳戶設置>計劃 并選擇復選框。一旦被激活，每一個私有倉庫最近三個標簽將被掃描，并將24小時內由此產生BOM展示在標簽部分。隨后，Docker Security Scanning 將在您每次推送時掃描您的鏡像標簽。

下面的截圖顯示了5個私有倉庫計劃的用戶的計劃頁。選擇加入到Docker Security Scanning 的復選框出現在計劃概要的底部。

我們很高興這個，我們讓每一位私人倉庫計劃的客戶免費試用三個月。

如果你有一個Docker Hub 賬戶并且從來沒有試過Docker Cloud，別擔心，相同的登錄憑證在Docker Cloud同樣可用。原生的集成保證你的Docker Hub 倉庫能在 Docker Cloud 的“Repositories” 部分展示。私有倉庫計劃提供5個私有倉庫，每個月 $7 的服務已經可以在Docker Cloud 上享受了。

感謝你的閱讀，相信你對“如何分析docker安全貴工具Security Scanning”這一問題有一定的了解，快去動手實踐吧，如果想了解更多相關知識點，可以關注億速云網站！小編會繼續為大家帶來更好的文章！