开源容器镜像漏洞扫描工具anchore的实践

Posted 云计算和网络安全技术实践

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源容器镜像漏洞扫描工具anchore的实践相关的知识,希望对你有一定的参考价值。

容器的安全问题范围很广,镜像安全是其中最重要的一部分,商用的容器镜像漏洞扫描工具没见到,倒是开源的已经有两个比较流行的了,clair和anchore,本周对这两个都进行了实践,clair没整明白,倒是anchore很顺利的就实践成功了,仅把anchore的实践记录一下,

参考https://github.com/anchore/anchore,

安装必要的软件,apt-get install python-pip python-rpm yum,

安装anchore,pip install anchore,

更新漏洞库,anchore feeds sync,

pull两个镜像做效果验证,一个是我经常用的rastasheep/ubuntu-sshd:14.04,另一个是最新的ubuntu,

开源容器镜像漏洞扫描工具anchore的实践

首先对rastasheep/ubuntu-sshd:14.04镜像做漏洞扫描,

anchore analyze --image rastasheep/ubuntu-sshd:14.04 --imagetype base,

得到扫描结果如下,

anchore gate --image rastasheep/ubuntu-sshd:14.04,

漏洞多的Putty的CLI一直往上翻都翻不完,

再对ubuntu镜像做漏洞扫描,

anchore analyze --image ubuntu --imagetype base,

得到扫描结果如下,

anchore gate --image ubuntu,

虽然这次Putty的CLI往上能翻完了,但是漏洞也还是不少,

这可是最新版本的ubuntu镜像啊,足可见容器安全问题有多么的严峻。

以上是关于开源容器镜像漏洞扫描工具anchore的实践的主要内容,如果未能解决你的问题,请参考以下文章

Aqua的两个kubernetes漏洞扫描工具的实践

容器安全风险and容器逃逸漏洞实践

漏洞扫描工具都有哪些

Clair:CoreOS发布的开源容器漏洞分析工具

K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描

K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描