神刀安全网

Docker推出漏洞容器扫描工具

原称Nautilus项目的Docker安全扫描,如今已可作为容器安全提升器使用了。

Docker推出漏洞容器扫描工具

Docker公司2015年11月DockerCon欧洲大会上放出的几条重磅好料中,就有用以扫描Docker资源库安全漏洞的Nautilus项目。如今,6个月过去了,该公司以Docker安全扫描这一产品名,让Nautilus项目切实可用了。而且,该新安全产品还作为更新补充到了 Docker Bench 这个容器安全工具最佳实践中,进一步改善了Docker的整体安全工具配备。

Docker安全总监内森·麦考利说:“DockerCon上宣布的,只是将Nautilus用到Docker官方资源库上,并没有结合端到端软件供应链的工作流。”

目前,Docker云私有资源库用户可在限定的免费试用期里使用Docker安全扫描。当然,最终所有的Docker云资源库用户都可以使用它。费用不高,作为私有资源库插件服务的话,每个库2美元起。Docker安全扫描还可以作为Docker公司2月首发的主线商业产品Docker数据中心的集成功能使用。

Docker安全扫描的目标,是帮助开发者和企业找到Docker容器镜像中的已知漏洞。Docker Hub 资源库中所有官方镜像的容器镜像都已应用上了Docker安全扫描。如今的全面铺开,让Docker云订阅用户也可以扫描他们的私有资源库了。

之前,IT运营不得不依赖于每个独立软件供应商(ISV)提供的信息来了解他们的内容状态,也必须主动监测通用漏洞披露(CVE)来获悉漏洞情况。Docker安全扫描则通过对Docker镜像自身的静态分析扫描,生成一份材料清单,找出已知CVE。

Docker安全扫描目前 只针对有CVE的已知漏洞 ,针对Docker容器镜像的潜在未知漏洞动态扫描是没有的。Docker公司的竞争对手CoreOS也有个类似的项目,名为Clair,3月份更新到了1.0版本。

已知漏洞自然是风险因素,已知的错误配置问题同样也是。 Docker Bench 工具就是用来解决错误配置问题的。1年前,互联网安全中心(CIS)发布了一份Docker部署安全最佳实践基准报告,与此同时,Docker Bench 首次出现在人前。最初的这份CIS报告几乎是伴随着 Docker 1.6 版发布的,而现在,新一期CIS基准公布,其中更新了 Docker 1.11 的情况。新报告中加进了对上个版本之后推出的一些新特性的推荐。

用户命名空间、授权插件的使用等,都在推荐范围内。另外,建议对像seccomp之类的新隔离功能进行禁用检查。

Docker Bench 和Docker安全扫描负责保护Docker基础设施安全的不同方面。Docker Bench 可以对Docker主机设置进行扫描。

Docker安全扫描则可以检测Docker容器镜像自身,让用户知道他们的容器镜像里是否存在已知的脆弱软件。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » Docker推出漏洞容器扫描工具

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址