QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Docker 安全扫描

  • 2016-05-15
  • 本文字数:1119 字

    阅读完需:约 4 分钟

Docker Inc 宣布正式提供 Docker 安全扫描(Docker Security Scanning)功能,之前它被称为 Nautilus 项目。这个功能的发布还伴随着 CIS Docker Security Benchmark 的更新,使其与 Docker 1.11.0 保持一致, Docker Bench 工具也进行了更新,它可以检查主机和 daemon 配置是否匹配推荐的安全基准。

从 2016 年 5 月 10 日开始, Docker Cloud 的私有 repo 客户能够在有限的时间范围内免费体验安全扫描的特性,并且将会迅速扩展至所有的 Docker Cloud 用户。安全扫描也将会成为 Docker Datacenter 的一个集成特性。扫描将会集成到“构建、传送、运行”生命周期之中,其过程会分为如下四步:

  1. 扫描基础镜像,签名并将其推送至中央仓库(在这里,系统会与 Docker Content Trust 集成);
  2. 开发人员添加安全的基础镜像并推送完整的应用来进行扫描。创建一份物料清单(bill of materials,BOM)并列出要修复的漏洞;
  3. BOM 达到就绪(satisfactory)状态之后,应用镜像会进行签名,这样就可以部署到生产环境了(也就是部署到配置已经得到 Docker Bench 保护的主机上,这些主机也会信任安全的 repo);
  4. 当新的漏洞添加到扫描数据库时,系统会通知 repo 中已部署镜像的问题。这样就可以创建新的镜像,有问题的容器就可以被新打上补丁的容器所替代。

安全扫描引擎能够在静态链接的二进制文件(statically linked binaries)中找到对安全至关重要的软件,如 OpenSSL,所以它不仅仅是扫描文件并创建哈希。但是,它依赖于特定语言的支持模块,因此现在还不能用于 Golang 的静态二进制文件。

据 Docker Inc 的安全主管 Nathan McCauley 介绍,扫描技术已经保护了对 Docker Hub“超过 4 亿次的 pull”请求,但是他并没有提及在这些请求中包含了多少已知有漏洞的软件。McCauley 接着说官方的 Docker 镜像将会全部使用安全扫描,他们致力于“更及时地”修复新发现的问题。

CIS Docker Security Benchmark 最初是在一年前发布的,它是与 Docker 1.6 共同使用的。McCauley 并不期望 Benchmark 会与 Docker 引擎的发布保持相同的节奏,但是 Docker Bench 工具的更新会比 Benchmark 更加频繁,以便于跟踪新的功能。

McCauley 还非常热情地介绍了 Docker Trusted Registry(DTR)基于角色的访问控制(Role Based Access Control,RBAC)功能以及 Docker Universal Control Plane(UCP)产品。基于属性的访问控制(Attribute Based Access Control,ABAC)功能可能也会推出,因为有一些客户要求该功能。这些安全功能的发布有一部分是提供给所有的 Docker 用户的,不过他们主要的关注点在于收费(premium)的产品和服务,Docker Inc 似乎专注于管理和安全功能市场,这些功能构建在大量流行的底层开源项目之上。

查看英文原文 Docker Security Scanning

2016-05-15 19:002151

评论

发布
暂无评论
发现更多内容

记一次5分钟大模型生成物流网关多域名配置工具

京东科技开发者

大模型微调提升AI应用性能

百度开发者中心

人工智能 大模型

Go-Zero微服务快速入门和最佳实践(一)

王中阳Go

Go golang 分布式 微服务 go-zero

荣获优秀共建方!开放原子开源大赛&龙蜥机密赛题决赛圆满结束

OpenAnolis小助手

操作系统 龙蜥社区 机密计算

4 月 30 日启动报名!2024 开源之夏&龙蜥社区赛题等你来挑战

OpenAnolis小助手

开源 操作系统 龙蜥社区 开源之夏

基础设施SIG月度动态:社区官网上线《龙蜥理事说》专题页,内核门禁提速

OpenAnolis小助手

开源 操作系统 龙蜥社区 龙蜥社区SIG

浪潮信息联合龙蜥社区推出 InManageBoot:让开局交付变得如此简单!

OpenAnolis小助手

运维 操作系统 龙蜥社区 InManageBoot

全球首发!龙蜥社区助力 Intel SPR 加速器上云

OpenAnolis小助手

云原生 操作系统 envoy 龙蜥社区 Intel SPR

南京大学×百度“星河杯”AI大模型创意校园赛正式起航

飞桨PaddlePaddle

百度 paddle BAIDU 百度飞桨 飞桨星河社区

全面展示自动驾驶最新发展动态“2024上海国际自动驾驶技术展会”

AIOTE智博会

自动驾驶展 智能驾驶展

铝型材表面瑕疵识别-Are you OK?队-1-解决方案

阿里云天池

阿里云 算法

系统整容纪:责任链设计模式的应用实战(爆灯了,研发工期由45天降为1天)

京东科技开发者

我们开源啦!一键部署免费使用!Kubernetes上直接运行大数据平台!

极客天地

鹰角网络宣布将启动鸿蒙原生应用开发

最新动态

自动化测试定位方式那么多,应该选哪个?

霍格沃兹测试开发学社

“专业敏捷教练课程” 7月6-7日 · CSP-SM认证上海线下面授周末班【晋升高阶享多重福利】

ShineScrum

低代码+定制物资管理:创新解决方案探析

天津汇柏科技有限公司

低代码 软件开发定制

软件测试如何选择最佳的自动化测试定位策略?

测试人

软件测试

安全厂商长擎软件加入龙蜥社区,共建领先的 OS 基础设施

OpenAnolis小助手

操作系统 国产操作系统 龙蜥社区生态伙伴

Anolis OS 23.1 BETA 预览版:龙芯同源异构完成,支持更多芯片厂家

OpenAnolis小助手

开源 操作系统 龙蜥社区 龙蜥操作系统 Anolis OS

职场<火焰杯>测试开发大赛开始报名啦!

霍格沃兹测试开发学社

大数据小白的测试成长之路

京东科技开发者

拒绝机械风,让ChatGPT像真人一样对话!

蓉蓉

ChatGPT GPT-4 GPTs

重回铁王座!时隔5年,Quill 2.0 终于发布啦!

OpenTiny社区

前端 富文本

时之鑫门窗|为什么选购门窗时推荐用十大品牌门窗

科技热闻

《龙蜥理事说》第二期对话统信软件 AI 让操作系统更智能

OpenAnolis小助手

AI 操作系统 国产操作系统 龙蜥社区

Docker安全扫描_安全_Chris Swan_InfoQ精选文章