让Docker更强大的10个安全开源工具

Posted 2021-04-21 开源最前线

开源最前线（ID：OpenSourceTop） 猿妹整编

链接：https://techbeacon.com/10-top-open-source-tools-docker-security

对于容器安全性，你会发现许多开源工具可以帮助你避免遭遇安全问题，但也不可小瞧了去，你还是需要知道哪些开源工具更实用，本文我们将介绍十个实用的Docker安全工具

1. Docker Bench for Security

Docker Bench for Security是一个脚本，用于检查有关在生产中部署Docker容器的许多常见最佳解决方案。Docker Bench的测试基于行业标准  CIS基准测试，帮助实现手动漏洞测试的繁琐过程自动化。你可以按如下方式启动容器：

docker run -it --net host --pid host --userns host --cap-add audit_control \ -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \ -v /var/lib:/var/lib \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /usr/lib/systemd:/usr/lib/systemd \ -v /etc:/etc --label docker_bench_security \ docker/docker-bench-security

2. Clair

API驱动的静态容器安全性分析，具有庞大的CVE数据库

3. Cilium

以下是如何使用本地更改部署Cilium：

$ kubectl create -f ./cilium.yaml clusterrole "cilium" created serviceaccount "cilium" created clusterrolebinding "cilium" created configmap "cilium-config" created secret "cilium-etcd-secrets" created daemonset "cilium" created $ kubectl get ds --namespace kube-system NAME DESIRED CURRENT READY NODE-SELECTOR AGE cilium 1 1 1 <none> 2m

4. Anchore

一种使用CVE数据和用户定义的策略检查容器安全性的工具

Anchore Engine是一种用于分析容器图像的工具。除了基于CVE的安全漏洞报告之外，Anchore Engine还可以使用自定义策略评估Docker镜像。

5. OpenSCAP Workbench

用于为各种平台创建和维护安全策略的环境

6. Dagda

用于在Docker容器中扫描漏洞，特洛伊木马，病毒和恶意软件的工具

Dagda是另一种用于容器安全性静态分析的工具。其CVE源包括OWASP依赖性检查，Red Hat Oval和攻击性安全漏洞利用数据库。要使用Dagda扫描Docker容器，首先要使用漏洞数据填充Mongo数据库。执行此命令以分析单个Docker镜像：

python3 dagda.py check --docker_image jboss/wildfly

7. Notary

Notary 包括服务器和客户端，用于运行和与受信任的集合进行交互。Notary 的目标是使互联网更加安全，方便人们发布和验证内容。我们经常依靠 TLS 来保护与内部存在缺陷的 Web 服务器的通信，因为服务器的任何妥协都可以使恶意内容替代合法内容。

8. Grafaes

用于帮助管理内部安全策略的元数据API

9. Sysdig Falco

Sysdig Falco是一个开源的应用行为活动监测器，可以用来检测你的应用程序中的异常活动。并且Falcos可以连续监测应用、主机、网络传输中的任意一个节点的数据流，Falcos也支持一组可定制的规则。

10. Banyanops Collector

Docker容器映像的静态分析框架

其他开源工具选择

Dockscan：具有少量提交的安全漏洞扫描程序

Batten：类似于Docker Bench的安全工具包，但具有非活动支持

InSpec：InSpec是一款人类和机器可读语言的基础设施开源测试框架

---

●编号345，输入编号直达本文

●输入m获取文章目录