0x00 前言

docker鏡像是屬于整個云原生的重要基石之一，如果從鏡像開始就沒有安全性的話，那么整個云原生也就沒有任何的安全性可言。所以鏡像檢測技術就成為了一個比較重要的點，本篇將通過研究docker鏡像工具來整體分析風險以及應對方案。

市面上的產品分為三種，一種是檢查中間件的，一種是檢查容器本身的，還有一種是檢查容器基線的。當然還有工具就是集成了所有工具的內容?；镜慕尤敕绞?#xff0c;就是在DevSecOps的時候，在準備鏡像環(huán)境的時候就通過檢測工具的接口來進行檢查，在做出拉取鏡像的時候就出發(fā)檢查，然后根據檢測結果來對應是否可以通過CI/CD的自動構建流程。

0x01 Clair

Clair是一款對容器漏洞進行靜態(tài)掃描的安全性工具，由quay開發(fā)和維護。

主要的工作原理是根據cve等漏洞庫為特征來掃描容器的每一個層來對比是否存在漏洞。

https://github.com/quay/clair

0x02 Anchore Engine

Anchore Engine是一款開源的掃描和容器分析工具，可以通過Jenkins等直接參與CI/CD構建過程。

Anchore Engine可從倉庫下載鏡像，然后對鏡像進行安全掃描、分析。其分為社區(qū)版本和商業(yè)版本，社區(qū)版本只提供CLI接口，商業(yè)版本還提供WEB頁面及更多的支持。

https://www.srcmini.com/56184.html

0x03 OpenSCAP

OpenSCAP類似于Clair，依賴cve漏洞庫進行漏洞掃描，并且這款工具可以對鏡像進行基線以及合規(guī)性的檢查。

https://blog.csdn.net/weixin_43902588/article/details/117793517

0x04 問脈（ VeinMind ）

長亭研制的一款開源容器安全檢測工具，支持多種掃描內容，不限于漏洞，以及后門容器的檢測，并且兼容Jenkins，以及Gitlab CI等DevOps自動化構建，如果是有時間的話，可以先研究一下這一款工具的使用。

https://github.com/chaitin/veinmind-tools

補充知識

docker

Docker 是一種開源的云應用程序平臺，它可以幫助開發(fā)者在容器化的環(huán)境中構建、打包、運行和共享應用程序。它利用操作系統(tǒng)級別的虛擬化技術，將應用程序和其依賴項作為容器打包在一起，使其可以在不同環(huán)境中運行且保持一致。Docker 可以簡化應用程序的部署、管理和擴展，提高了開發(fā)效率和代碼的可移植性。

k8s

Kubernetes (k8s) 是一個開源的容器編排平臺，最初由 Google 發(fā)起，用于管理和運行容器化的應用程序。它提供了容器的自動部署、伸縮、負載均衡、資源調度等功能，使得應用程序的部署和管理更加簡單、高效和可靠。Kubernetes 旨在幫助開發(fā)者和運維人員更好地管理容器化應用，追求可移植性、可擴展性和自動化的部署和管理。

DevOps

DevOps是一種開發(fā)和運營（Operations）方法論，旨在通過協作和自動化來提高軟件交付的速度和質量，同時降低其成本和風險。DevOps強調跨職能團隊的協作和消除組織內外的孤立，以便更快地推出新的軟件產品和服務，同時也能夠更輕松和穩(wěn)定地進行操作。

在DevOps中，開發(fā)人員、測試人員和運營人員通常會一起合作，以創(chuàng)建一個自動化的軟件交付管道。這個管道包括構建、測試、部署和監(jiān)控等過程，以確保軟件能夠快速、高質量地交付到生產環(huán)境中。DevOps還鼓勵使用持續(xù)集成（Continuous Integration）、持續(xù)交付（Continuous Delivery）和持續(xù)部署（Continuous Deployment）等自動化工具和流程來支持這個管道。

DevSecOps

DevSecOps指的是將安全性考慮融入到DevOps工作流程中的方法論和實踐。它旨在通過整合安全工具、流程和實踐，集成應用程序安全性的核心概念和最佳實踐，以提高IT系統(tǒng)安全性。

在DevSecOps中，安全性是軟件開發(fā)生命周期（SDLC）的一個關鍵輸入，并貫穿整個軟件開發(fā)過程。開發(fā)人員、安全團隊和運維人員通過自動化和協作，共同保障應用程序的安全性。

DevSecOps的主要目標是確保應用程序的安全性，以及縮短漏洞和威脅的修補時間。它通過以下幾個步驟來實現這些目標：

1. 整合安全測試和漏洞掃描工具到CI/CD流程中，以自動化安全性檢查。

2. 在代碼倉庫中編寫安全測試用例，以確保代碼符合安全性最佳實踐。

3. 建立自動化的安全掃描和弱點檢查流程，對生產環(huán)境進行常規(guī)檢查。

4. 持續(xù)監(jiān)測漏洞、威脅和惡意行為，并及時修補它們。

DevSecOps是一種適合當前快速增長的軟件開發(fā)需求的方法，它能夠確保應用程序的安全性并為業(yè)務創(chuàng)造更多的價值。

CI/CD

CI/CD是指持續(xù)集成（Continuous Integration）和持續(xù)交付（Continuous Delivery）的縮寫。它是一種軟件開發(fā)流程，旨在通過自動化軟件構建、測試、部署和交付來改進開發(fā)速度、質量和可靠性。

持續(xù)集成是指將所有的開發(fā)人員的代碼合并至同一代碼庫，并在每次代碼提交時自動執(zhí)行構建、測試和代碼質量檢查，以確保代碼的穩(wěn)定性和可靠性。

持續(xù)交付是指將代碼部署至生產環(huán)境的一系列自動化流程，其目的是通過重復性、規(guī)范化的開發(fā)流程提高軟件交付的速度和質量。

CI/CD可以幫助開發(fā)團隊更快、更安全、更可靠地構建和部署軟件，同時可以減少手動操作和人為錯誤的風險，使開發(fā)周期更加高效和可靠。

Jenkins

Jenkins是一個開源的自動化部署工具，它可以用于構建、測試和部署軟件。Jenkins被廣泛應用于持續(xù)集成和持續(xù)交付，它可以幫助開發(fā)團隊更快地交付軟件，并保證軟件的質量。

Jenkins的特點包括：

1. 開源免費：Jenkins是免費的開源軟件，可以輕松地進行安裝和使用。

2. 可擴展性強：Jenkins有大量的插件和可擴展的API，可以輕松地擴展其功能。

3. 多平臺支持：Jenkins可以在Windows、Linux和Mac OS X等多個平臺上運行。

4. 易于配置和使用：Jenkins提供了直觀的Web界面，可以輕松地配置和使用。

5. 支持多種工具和編程語言：Jenkins支持多種工具和編程語言，包括Java、Ruby、Python、Perl等。

6. 支持分布式構建：Jenkins可以將構建任務分布到多臺機器上執(zhí)行，以提高效率和速度。

總之，Jenkins是一個非常強大和靈活的自動化部署工具，可以幫助開發(fā)團隊更好地管理和交付軟件。