Сканирование образов контейнеров на наличие уязвимостей с помощью Docker Scout
Life-Hack [Жизнь-Взлом]/ХакингЧто отличает Docker Scout от некоторых других предложений, так это то, что он не только отображает CVE, но и состав образа.
Безопасность ваших контейнеров строится на фундаменте, сформированном из используемых вами образов.
Если вы работаете с образом, изобилующим уязвимостями, ваши контейнеры будут также уязвимы.
Напротив, если вы создаете свои контейнеры на прочном фундаменте из безопасных образов, эти контейнеры будут более безопасными по умолчанию (при условии, что вы следуете стандартным лучшим практикам).
Каждый разработчик контейнеров, который достаточно долго работал с такими платформами, как Docker и Kubernetes, понимает эту идею.
Проблема заключается в том, чтобы реализовать ее на практике.
К счастью, существует множество инструментов для сканирования образов на предмет уязвимостей.
Одним из таких инструментов является Docker Scout, который был выпущен в ранней предварительной версии вместе с Docker Desktop 4.17.
Этот инструмент можно использовать как в графическом интерфейсе Docker Desktop, так и в интерфейсе командной строки, и он позволяет получить представление о содержимом образа контейнера.
Отличительной особенностью Docker Scout от других предложений является то, что он не только отображает CVE, но и состав образа (например, базовый образ и рекомендации по обновлению). Другими словами, все, кто зависит от Docker, должны считать Scout обязательным к использованию.
Мы покажем вам, как использовать Docker Scout из интерфейса командной строки Docker.
Как установить Docker CE
Первое, что мы сделаем, это установим Docker CE.
Я буду демонстрировать на Kali linux, поэтому если вы используете другой дистрибутив Linux, вам придется изменить команды установки по мере необходимости.
Если вы уже установили Docker или Docker Desktop, вы можете пропустить эти шаги.
Сначала добавьте официальный GPG-ключ Docker с помощью команды:
curl --fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
Затем добавьте репозиторий Docker:
echo “deb [arch=amd64 signed-by=/usr/share/keyrings/docker-a
Обновим с апт:
sudo
Наконец, мы можем установить последнюю версию Docker CE:
sudo apt--get install docker--ce do
Далее необходимо добавить своего пользователя в группу docker с помощью команды:
Выйдите из системы и снова войдите в нее, чтобы изменения вступили в силу.
Как запустить Docker Scout из командной строки
Если вы предпочитаете командную строку, Docker Scout поможет вам в этом.
Давайте рассмотрим образ NGINX.
Есть четыре основные команды, которые можно использовать в Docker Scout CLI, а именно:
- docker scout compare – Сравнивает два образа и отображает различия.
- docker scout cves – Отображает CVE, идентифицированные для любых программных артефактов в образе.
- docker scout quickview – отображает быстрый обзор образа.
- docker scout recommendations – отображает все доступные обновления базового образа и рекомендации по устранению.
Запустим команду quickview на последнем образе NGINX.
Эта команда выглядит следующим образом:
docker scout quickview nginx
Результаты покажут все CVE, найденные в ваших образах, базовом образе и обновленном базовом образе.
$ docker scout cves nginx:latest
$ docker scout recommendations nginx:latest [s/imterm
Я бы настоятельно рекомендовал выполнить команду recommendations, поскольку она дает довольно много важной информации об образе.