Cilium 的周边支持和开发社区非常棒 。你能找到大量的指南和文档、一个 Slack 频道,甚至还有每周与项目维护者的聚会 。
AnchoreAnchhore 是一个使用 CVE 数据库和用户定义策略检查容器安全性的工具 。
Anchore Engine 是一个分析容器镜像的工具 。不仅仅加入了 CVE 的安全漏洞报告,Anchore 引擎还可以使用自定义策略来对 Docker 镜像进行评估 。
不同策略会导致通过或失败的结果 。策略可以基于白名单 / 黑名单、安全凭证、文件内容、配置类型或其他用户提示 。
Anchore 打包成 Docker 容器镜像后,既可以独立运行,也可以在 Kubernetes 这样的容器编排平台上运行 。它也可以集成 Jenkins 和 GitLab 实现 CI/CD 。
使用 Anchore 命令行工具(CLI)是操作 Anchore 引擎的好方法 。例如,你可以使用如下命令来查看镜像内容的详细信息:
?复制代码
anchore-cli image content INPUT_IMAGE CONTENT_TYPE再例如,你可以使用如下命令来对一个镜像进行漏洞扫描:
?复制代码
anchore-cli image vuln docker.io/library/debian:latest osAnchore 能够输出漏洞细节、威胁级别、CVE 标识符和其他相关信息的列表 。由于用户定义的规则是通过 Anchore 云服务图形用户界面(GUI)创建的,所以它的操作类似于 SaaS 。
OpenSCAP WorkbenchOpenSCAP Workbench 是一个为各种平台创建和维护安全策略的环境 。
OpenSCAP 是一个 IT 管理员和安全审计员的生态系统,其中包括许多开放的安全基准指南、安全配置基准和开源工具 。
使用 Fedora、Red Hat Enterprise Linux、centos 或 Scientific Linux 的用户可以将 OpenSCAP 工作台安装为 GUI 的形式,以便在虚拟机、容器和容器镜像上运行扫描 。你可以使用如下命令安装 OpenSCAP 工作台:
?复制代码
【值得推荐的 Docker 安全开源工具】# yum install scap-workbench如果要根据 SCAP 策略指南和 CVE 来评估容器,请使用 OpenSCAP 附带的 oscap-docker 程序 。
OpenSCAP 以 NIST 认证的安全内容自动化协议(SCAP)为核心,提供了许多机器可读的安全策略 。OpenSCAP 安全指南指出,该项目的目标是允许多个组织通过避免冗余来有效地开发安全内容 。
由于 OpenSCAP 比列表中的其他工具应用范围更广泛,所以对于希望为整个平台创建安全策略的团队来说,OpenSCAP 是一个很好的选择 。
DagdaDagda 是一个扫描 Docker 容器中漏洞、木马、病毒和恶意软件的工具 。
Dagda 是又一个用于容器安全性静态分析的工具 。它的 CVE 来源包括 OWASP 依赖项检查、Red Hat Oval 以及 Offensive Security 数据库 。
要使用 Dagda 扫描 Docker 容器,首先要建立一个包含漏洞数据的 Mongo 数据库 。之后,执行此命令来分析单个 Docker 镜像:
?复制代码
Python3 dagda.py check --docker_image jboss/wildfly你可以在远程运行它,或者不断地调用它来监视活动的 Docker 容器 。结果输出能够显示出漏洞的数量、严重性级别以及其他细节,可以帮助开发者进行安全修复 。
Dagda 的优势之一是它广泛覆盖了各种漏洞数据 。这意味着你可以直接访问大量最新的、全面的漏洞数据 。同时,它也很灵活,你可以通过 CLI 命令行工具以及 REST API 来控制它 。
NotaryNotary 是一个增强容器安全性的框架 。
Notary 实际上是一个 Docker 的镜像签名框架,现在开源用于其他实现 。Docker 开发了它,然后在 2017 年将其捐赠给了云原生计算基金会 。
Notary 主要是用于职责分离的 。使用 Notary,开发人员可以委派角色并在容器之间定义职责 。该工具提供了服务端工具和客户端工具,提供了一种内容发布和验证的加密安全方法 。
如果要在本地部署 Notary,你需要先把代码仓库克隆到本地 。之后使用 Docker Compose 来部署一个本地配置项:
?复制代码
$ docker-compose build $ docker-compose up -d $ mkdir -p ~/.notary && cp cmd/notary/config.json cmd/notary/root-ca.crt ~/.notary它依赖于 The Update Framework 以及 Go 语言,可以验证容器应用程序镜像的加密完整性 。
GrafaesGrafaes 是一个用于帮助管理内部安全策略的元数据 API 。
Grafaes 可以帮助你创建自己的容器安全扫描项目 。该容器安全工具是由 IBM 和谷歌于 2017 年底发布的 。
开发人员可以使用 Grafaes 组件元数据 API 来定义虚拟机和容器的元数据 。IBM 的 Vulnerability Advisor 也集成到了该项目中 。
如果需要参考一个可靠的案例研究,请参见 Shopify 是如何使用 Grafaes 管理 500,000 个容器镜像的元数据的 。与 Kritis 合作,该团队对使用 Grafeas 元数据的 Kubernetes 集群实施安全策略管理 。
推荐阅读
- Web 攻击越发复杂,如何保证云上业务高可用性的同时系统不被入侵?| 专家谈
- 新买的木床味道很刺鼻正常吗,新买的木板床有味道怎么办
- Nginx 为什么是高效服务器,架构设计是怎样的?
- 床上可以写字的小桌子一般买多高,一般写字桌子多高
- Redis-消息队列的两种实现方式
- 房屋质量鉴定找什么机构靠谱,房屋出现的质量问题如何处理
- 小型加湿器喷雾小怎么回事,小加湿器喷的雾是乳白色什么原因
- 夜与轮回的迷宫 午夜生死轮回左轮
- 女人靠自己的样子很美 什么样的男人最美
- 某php开源cms有趣的二次注入