Docker Inc宣布正式提供Docker安全掃描（Docker Security Scanning）功能，之前它被稱為Nautilus項目。這個功能的發(fā)布還伴隨著CIS Docker Security Benchmark的更新，使其與Docker 1.11.0保持一致，Docker Bench工具也進行了更新，它可以檢查主機和daemon配置是否匹配推薦的安全基準。

從2016年5月10日開始，Docker Cloud的私有repo客戶能夠在有限的時間范圍內(nèi)免費體驗安全掃描的特性，并且將會迅速擴展至所有的Docker Cloud用戶。安全掃描也將會成為Docker Datacenter的一個集成特性。掃描將會集成到“構(gòu)建、傳送、運行”生命周期之中，其過程會分為如下四步：

掃描基礎鏡像，簽名并將其推送至中央倉庫（在這里，系統(tǒng)會與Docker Content Trust集成）； 開發(fā)人員添加安全的基礎鏡像并推送完整的應用來進行掃描。創(chuàng)建一份物料清單（bill of materials，BOM）并列出要修復的漏洞； BOM達到就緒（satisfactory）狀態(tài)之后，應用鏡像會進行簽名，這樣就可以部署到生產(chǎn)環(huán)境了（也就是部署到配置已經(jīng)得到Docker Bench保護的主機上，這些主機也會信任安全的repo）； 當新的漏洞添加到掃描數(shù)據(jù)庫時，系統(tǒng)會通知repo中已部署鏡像的問題。這樣就可以創(chuàng)建新的鏡像，有問題的容器就可以被新打上補丁的容器所替代。

安全掃描引擎能夠在靜態(tài)鏈接的二進制文件（statically linked binaries）中找到對安全至關重要的軟件，如OpenSSL，所以它不僅僅是掃描文件并創(chuàng)建哈希。但是，它依賴于特定語言的支持模塊，因此現(xiàn)在還不能用于Golang的靜態(tài)二進制文件。

據(jù)Docker Inc的安全主管Nathan McCauley介紹，掃描技術(shù)已經(jīng)保護了對Docker Hub“超過4億次的pull”請求，但是他并沒有提及在這些請求中包含了多少已知有漏洞的軟件。McCauley接著說官方的Docker鏡像將會全部使用安全掃描，他們致力于“更及時地”修復新發(fā)現(xiàn)的問題。

CIS Docker Security Benchmark最初是在一年前發(fā)布的，它是與Docker 1.6共同使用的。McCauley并不期望Benchmark會與Docker引擎的發(fā)布保持相同的節(jié)奏，但是Docker Bench工具的更新會比Benchmark更加頻繁，以便于跟蹤新的功能。

McCauley還非常熱情地介紹了Docker Trusted Registry（DTR）基于角色的訪問控制（Role Based Access Control，RBAC）功能以及Docker Universal Control Plane（UCP）產(chǎn)品。基于屬性的訪問控制（Attribute Based Access Control，ABAC）功能可能也會推出，因為有一些客戶要求該功能。這些安全功能的發(fā)布有一部分是提供給所有的Docker用戶的，不過他們主要的關注點在于收費（premium）的產(chǎn)品和服務，Docker Inc似乎專注于管理和安全功能市場，這些功能構(gòu)建在大量流行的底層開源項目之上。

查看英文原文：Docker Security Scanning