值得推荐的 Docker 安全开源工具( 三 ) _Docker

Grafaes 能够快速获取容器元数据，这有助于加快补救安全问题，减少漏洞被暴露以及被利用的窗口期。虽然 Grafaes 是开源的，但它是由大型软件供应商维护的，这对工具的长期支持是有好处的。
Sysdig FalcoSysdig Falco 是一个可以提供深度容器可见性的行为活动监视工具。
Falco 是一个 Kubernetes 感知安全审计工具，它是由 Sysdig 开发的，强调对容器、主机和网络活动的行为监视。使用 Falco，开发人员可以对其基础设施进行持续检查、异常检测，并为任何类型的 Linux 系统调用设置警报通知。
Falco 文档建议用户将 Falco 作为 Docker 容器运行。你可以使用这些命令安装它。安装完成后，Falco 警报标准输出如下所示：
?复制代码
stdout_output: enabled: true 10:20:05.408091526: Warning Sensitive file opened for reading by non-trusted program通过 Falco 可以监视 shell 何时在容器中运行、容器在哪里挂载、对敏感文件的意外读取、出站网络尝试以及其他可疑调用。Sysdig 提供了更多的容器故障排查资料。
Banyanops CollectorBanyanops Collector 是一个 Docker 容器镜像静态分析框架。
Collector 是一个 Banyanops 提供支持的开源实用程序，它可以用来查看 Docker 容器中的镜像文件。开发人员可以使用 Collector 收集容器数据，执行安全策略等等。
首先，Banyanops 既支持私有容器注册中心，也可以作为 Docker Hub 上的容器运行。Banyanops 还提供 SaaS 产品，可以提供更深入的数据分析，因此，如果遇到功能受限的情况，你可能需要购买其服务。
其他优秀开源工具

Dockerscan：一个 Git 提交次数不多的安全漏洞扫描器。
Batten：一个类似于 Docker Bench 的审计工具包，但是他们提供的支持并不活跃。
BlackDuck Docker security：一个以 Web 服务形式构建的容器镜像安全扫描工具。遗憾的是，目前不建议以 Web 的形式使用该产品。
Inspec：一个具有 Docker 容器测试功能的审核、测试框架。

具体情况，具体分析由于容器化已经发展成为一种流行的部署方式，因此最重要的是需要使用适当的安全控制来增强这些容器。值得庆幸的是，你会发现一个强大的开源安全解决方案生态系统，这些解决方案是为许多不同的环境定制的。
这些工具的整体强度取决于检查的深度。有效性还取决于 CVE 数据库和基准本身是否及时进行漏洞更新并发布新的最佳实践。值得庆幸的是，各种工具现在正在努力减少零日漏洞的利用以及容器漏洞被利用的窗口期。
开发人员也会被那些具有更好体验的工具所吸引，这些体验更好的工具能够减少无效日志以及重复数据。这类偏好只能通过反复试验和试错来确定，这取决于你的构建活动和个人偏好。