写点什么

Docker 安全扫描

  • 2016-05-15
  • 本文字数:1119 字

    阅读完需:约 4 分钟

Docker Inc 宣布正式提供 Docker 安全扫描(Docker Security Scanning)功能,之前它被称为 Nautilus 项目。这个功能的发布还伴随着 CIS Docker Security Benchmark 的更新,使其与 Docker 1.11.0 保持一致, Docker Bench 工具也进行了更新,它可以检查主机和 daemon 配置是否匹配推荐的安全基准。

从 2016 年 5 月 10 日开始, Docker Cloud 的私有 repo 客户能够在有限的时间范围内免费体验安全扫描的特性,并且将会迅速扩展至所有的 Docker Cloud 用户。安全扫描也将会成为 Docker Datacenter 的一个集成特性。扫描将会集成到“构建、传送、运行”生命周期之中,其过程会分为如下四步:

  1. 扫描基础镜像,签名并将其推送至中央仓库(在这里,系统会与 Docker Content Trust 集成);
  2. 开发人员添加安全的基础镜像并推送完整的应用来进行扫描。创建一份物料清单(bill of materials,BOM)并列出要修复的漏洞;
  3. BOM 达到就绪(satisfactory)状态之后,应用镜像会进行签名,这样就可以部署到生产环境了(也就是部署到配置已经得到 Docker Bench 保护的主机上,这些主机也会信任安全的 repo);
  4. 当新的漏洞添加到扫描数据库时,系统会通知 repo 中已部署镜像的问题。这样就可以创建新的镜像,有问题的容器就可以被新打上补丁的容器所替代。

安全扫描引擎能够在静态链接的二进制文件(statically linked binaries)中找到对安全至关重要的软件,如 OpenSSL,所以它不仅仅是扫描文件并创建哈希。但是,它依赖于特定语言的支持模块,因此现在还不能用于 Golang 的静态二进制文件。

据 Docker Inc 的安全主管 Nathan McCauley 介绍,扫描技术已经保护了对 Docker Hub“超过 4 亿次的 pull”请求,但是他并没有提及在这些请求中包含了多少已知有漏洞的软件。McCauley 接着说官方的 Docker 镜像将会全部使用安全扫描,他们致力于“更及时地”修复新发现的问题。

CIS Docker Security Benchmark 最初是在一年前发布的,它是与 Docker 1.6 共同使用的。McCauley 并不期望 Benchmark 会与 Docker 引擎的发布保持相同的节奏,但是 Docker Bench 工具的更新会比 Benchmark 更加频繁,以便于跟踪新的功能。

McCauley 还非常热情地介绍了 Docker Trusted Registry(DTR)基于角色的访问控制(Role Based Access Control,RBAC)功能以及 Docker Universal Control Plane(UCP)产品。基于属性的访问控制(Attribute Based Access Control,ABAC)功能可能也会推出,因为有一些客户要求该功能。这些安全功能的发布有一部分是提供给所有的 Docker 用户的,不过他们主要的关注点在于收费(premium)的产品和服务,Docker Inc 似乎专注于管理和安全功能市场,这些功能构建在大量流行的底层开源项目之上。

查看英文原文 Docker Security Scanning

2016-05-15 19:002393

评论

发布
暂无评论
发现更多内容

云计算运维与传统运维工作有啥不同?需要什么资质?

行云管家

云计算 服务器 IT运维 云计算运维

数据中台为什么要建标签体系,分类它不香吗?

用友BIP

数据中台 标签体系

小手哆嗦一下,就能用 Python Django 实现一个微型博客系统

梦想橡皮擦

8月日更

c++ 构造函数详解

若尘

c++ 构造函数 8月日更

从0开始的TypeScriptの四:接口Interfaces · 上

空城机

JavaScript typescript 大前端 8月日更

AIMA:如何通过质量指标提高QA的绩效(译)

BY林子

软件测试 绩效 QA

Go 学习笔记之 Channels

架构精进之路

Go 语言 8月日更

信创产业已成现象级新风口,快来加入争做“弄潮儿”

华为云开发者联盟

开源 信创 opengauss openEuler 鲲鹏

某离散制造行业龙头客户“主数据管理平台”建设分享

用友BIP

主数据管理

Regan Yue带你一起学习微软AZ-900认证的有关知识「 第Ⅱ章」

Regan Yue

云计算 微软 后端 8月日更

贡献数字力量 浪潮云洲赋能广州箱包皮具产业集群

工业互联网

测试开发之系统篇-Docker容器安装

禅道项目管理

Docker 测试开发

prometheus 语法

Rubble

Prometheus 8月日更

Vue进阶(二十六):详解 router.push()

No Silver Bullet

Vue router 8月日更

【LeetCode】第一个只出现一次的字符Java题解

Albert

算法 LeetCode 8月日更

云小课 | 到底什么是区块链?

华为云开发者联盟

区块链 华为云 区块链的定义 区块链的解决方案 区块链的发展

高防服务器,企业成长安全控制有效性的关键工具

九河云安全

【Flutter 专题】72 图解极简自定义跑马灯 ACEMarquee

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 8月日更

【Vue2.x 源码学习】第三十二篇 - diff算法-乱序比对

Brave

源码 vue2 8月日更

跨链治理之入门三问 :WHO WHAT HOW

趣链科技

区块链 治理机制

Vue进阶(二十五):<component>实现动态组件

No Silver Bullet

Vue 动态组件 8月日更

netty系列之:使用POJO替代buf

程序那些事

Java Netty nio 程序那些事

零代码上线小布对话技能:技能平台的实践与思考

OPPO小布助手

人工智能 自然语言处理 算法 零代码 语义理解

为构建大型复杂系统而生的微服务框架 Erda Infra

尔达Erda

开源 程序员 微服务 云原生 运维开发

uni-app技术分享| 怎么用uni-app实现呼叫邀请

anyRTC开发者

uni-app 音视频 呼叫邀请 点对点呼叫

VSCode July 2021 (version 1.59) 更新

IT蜗壳-Tango

8月日更

手撸二叉树之数据流中的第 K 大元素

HelloWorld杰少

数据结构与算法 8月日更

【插画】一文看懂容器k8s

恒生LIGHT云社区

Docker 容器 k8s

1年半经验,2本学历,Curd背景,竟给30K,我的美团Offer终于来了

Java~~~

Java 架构 面试 微服务 多线程

HashMap面试中的12个点

4ye

Java 面试 后端 hashmap 8月日更

Compose 可组合项的生命周期

Changing Lin

8月日更

Docker安全扫描_安全_Chris Swan_InfoQ精选文章