Docker公司2015年11月DockerCon歐洲大會上放出的幾條重磅好料中,就有用以掃描Docker資源庫安全漏洞的Nautilus項目。
如今,6個月過去了,該公司以Docker安全掃描這一產品名,讓Nautilus項目切實可用了。而且,該新安全產品還作為更新補充到了 Docker Bench 這個容器安全工具最佳實踐中,進一步改善了Docker的整體安全工具配備。 Docker安全總監內森·麥考利說:“DockerCon上宣布的,只是將Nautilus用到Docker官方資源庫上,并沒有結合端到端軟件供應鏈的工作流。”
目前,Docker云私有資源庫用戶可在限定的免費試用期里使用Docker安全掃描。當然,最終所有的Docker云資源庫用戶都可以使用它。費用不高,作為私有資源庫插件服務的話,每個庫2美元起。Docker安全掃描還可以作為Docker公司2月首發的主線商業產品Docker數據中心的集成功能使用。
Docker安全掃描的目標,是幫助開發者和企業找到Docker容器鏡像中的已知漏洞。
Docker Hub 資源庫中所有官方鏡像的容器鏡像都已應用上了Docker安全掃描。如今的全面鋪開,讓Docker云訂閱用戶也可以掃描他們的私有資源庫了。之前,IT運營不得不依賴于每個獨立軟件供應商(ISV)提供的信息來了解他們的內容狀態,也必須主動監測通用漏洞披露(CVE)來獲悉漏洞情況。
Docker安全掃描則通過對Docker鏡像自身的靜態分析掃描,生成一份材料清單,找出已知CVE。
Docker安全掃描目前只針對有CVE的已知漏洞,針對Docker容器鏡像的潛在未知漏洞動態掃描是沒有的。Docker公司的競爭對手CoreOS也有個類似的項目,名為Clair,3月份更新到了1.0版本。已知漏洞自然是風險因素,已知的錯誤配置問題同樣也是。Docker Bench 工具就是用來解決錯誤配置問題的。
1年前,互聯網安全中心(CIS)發布了一份Docker部署安全最佳實踐基準報告,與此同時,Docker Bench 首次出現在人前。最初的這份CIS報告幾乎是伴隨著 Docker 1.6 版發布的,而現在,新一期CIS基準公布,其中更新了 Docker 1.11 的情況。新報告中加進了對上個版本之后推出的一些新特性的推薦。用戶命名空間、授權插件的使用等,都在推薦范圍內。另外,建議對像seccomp之類的新隔離功能進行禁用檢查。
Docker Bench 和Docker安全掃描負責保護Docker基礎設施安全的不同方面。Docker Bench 可以對Docker主機設置進行掃描。 Docker安全掃描則可以檢測Docker容器鏡像自身,讓用戶知道他們的容器鏡像里是否存在已知的脆弱軟件。
京公網安備 11010502049343號