写点什么

Docker 安全扫描

  • 2016-05-15
  • 本文字数:1119 字

    阅读完需:约 4 分钟

Docker Inc 宣布正式提供 Docker 安全扫描(Docker Security Scanning)功能,之前它被称为 Nautilus 项目。这个功能的发布还伴随着 CIS Docker Security Benchmark 的更新,使其与 Docker 1.11.0 保持一致, Docker Bench 工具也进行了更新,它可以检查主机和 daemon 配置是否匹配推荐的安全基准。

从 2016 年 5 月 10 日开始, Docker Cloud 的私有 repo 客户能够在有限的时间范围内免费体验安全扫描的特性,并且将会迅速扩展至所有的 Docker Cloud 用户。安全扫描也将会成为 Docker Datacenter 的一个集成特性。扫描将会集成到“构建、传送、运行”生命周期之中,其过程会分为如下四步:

  1. 扫描基础镜像,签名并将其推送至中央仓库(在这里,系统会与 Docker Content Trust 集成);
  2. 开发人员添加安全的基础镜像并推送完整的应用来进行扫描。创建一份物料清单(bill of materials,BOM)并列出要修复的漏洞;
  3. BOM 达到就绪(satisfactory)状态之后,应用镜像会进行签名,这样就可以部署到生产环境了(也就是部署到配置已经得到 Docker Bench 保护的主机上,这些主机也会信任安全的 repo);
  4. 当新的漏洞添加到扫描数据库时,系统会通知 repo 中已部署镜像的问题。这样就可以创建新的镜像,有问题的容器就可以被新打上补丁的容器所替代。

安全扫描引擎能够在静态链接的二进制文件(statically linked binaries)中找到对安全至关重要的软件,如 OpenSSL,所以它不仅仅是扫描文件并创建哈希。但是,它依赖于特定语言的支持模块,因此现在还不能用于 Golang 的静态二进制文件。

据 Docker Inc 的安全主管 Nathan McCauley 介绍,扫描技术已经保护了对 Docker Hub“超过 4 亿次的 pull”请求,但是他并没有提及在这些请求中包含了多少已知有漏洞的软件。McCauley 接着说官方的 Docker 镜像将会全部使用安全扫描,他们致力于“更及时地”修复新发现的问题。

CIS Docker Security Benchmark 最初是在一年前发布的,它是与 Docker 1.6 共同使用的。McCauley 并不期望 Benchmark 会与 Docker 引擎的发布保持相同的节奏,但是 Docker Bench 工具的更新会比 Benchmark 更加频繁,以便于跟踪新的功能。

McCauley 还非常热情地介绍了 Docker Trusted Registry(DTR)基于角色的访问控制(Role Based Access Control,RBAC)功能以及 Docker Universal Control Plane(UCP)产品。基于属性的访问控制(Attribute Based Access Control,ABAC)功能可能也会推出,因为有一些客户要求该功能。这些安全功能的发布有一部分是提供给所有的 Docker 用户的,不过他们主要的关注点在于收费(premium)的产品和服务,Docker Inc 似乎专注于管理和安全功能市场,这些功能构建在大量流行的底层开源项目之上。

查看英文原文 Docker Security Scanning

2016-05-15 19:002191

评论

发布
暂无评论
发现更多内容

被忽略的一点:Docker的单进程模型

董哥的黑板报

Docker Kubernetes 容器 云原生 进程

构建在Findora上的Forlend,具备隐私特性的借贷协议

BlockChain先知

史上最全的Java并发系列之Java内存模型

自然

多线程 并发 8月月更

史上最全的Java并发系列之Java多线程(二)

自然

多线程 并发 8月月更

手把手带你实战 AGP 7.x ASM 字节码插桩

如浴春风

android asm Gradle 签约计划第三季

types-paddle: 为Paddle增加Tensor类型注释特性

吴京

Python paddle machine-learning

C++继承的基本语法与三种继承方式

CtrlX

c c++ 面向对象 继承 8月月更

JAVA开源商城系统

源字节1号

后端开发

极狐 GitLab 冷知识:Quick Actions 快速操作 Issue

郭旭东

极狐GitLab JIHULAB 101

自智网络简介

俞凡

网络 自智网络

一篇文章和你从Java1聊到Java18

Hash拿铁

Java core

【LeetCode】分割字符串的最大得分Java题解

Albert

LeetCode 8月月更

Redis 多机

武师叔

8月月更

极狐 GitLab 冷知识:使用 Email 也可以创建 Issue?

郭旭东

极狐GitLab JIHULAB 101

构建在Findora上的Forlend,具备隐私特性的借贷协议

小哈区块

构建在Findora上的Forlend,具备隐私特性的借贷协议

西柚子

再也不敢精通Java了——get/set篇

4ye

Java Jackson lombok 签约计划第三季

何为项目

尚影嫣

项目管理 8月月更

开源一夏 |Aeraki --- 管理 Istio 服务网格中任何 7 层协议

叶秋学长

开源 云原生 8月月更

RxJS实现“搜索”功能

掘金安东尼

前端 函数式编程 8月月更

深入了解JAVA篇之内存分析

邱学喆

JVM 堆内存 内存结构 MAT

史上最全的Java并发系列之Java多线程

自然

多线程 并发 8月月更

selenium脚本编写注意点(二)

Xd

一张图进阶 RocketMQ - 消费者这个大冤种

三此君

RocketMQ 消息队列 消费者consumer 签约计划第三季

开源一夏 | 使用 JavaScript 和 CSS 的随机颜色生成器

海拥(haiyong.site)

开源 8月月更

投研报告 -野心勃勃的meme项目 Lovely Inu($ lovely)

鳄鱼视界

如何应对核心员工提离职?

石云升

员工离职 职场经验 8月月更

他居然发邮件请我去吃饭——邮件伪造那些事儿

Regan Yue

网络安全 8月日更 8月月更 邮件伪造

开源一夏 | JS超集对TypeScript的Map对象以及联合类型的深入实战

恒山其若陋兮

开源 8月月更

如何成为一名合格的文案:需要具备哪些技能

石头IT视角

【云原生】Docker入门 -- 阿里云服务器环境下安装Docker

Bug终结者

Docker 阿里云 云原生 服务器 8月月更

Docker安全扫描_安全_Chris Swan_InfoQ精选文章