开源镜像漏洞扫描器

Posted 2023-03-19

参考技术A 现在打包应用到 Docker Image 变的越来越普遍了，因此镜像的安全性也变得越来越重要了；

很多人认为只要打包成镜像应用就是安全的，但是大家也知道镜像是一个静态文件，由很多层组成，只要其中的一层发现漏洞，就会对你的应用造成威胁；

现在也出现了很多开源的漏洞扫描工具，用来扫描镜像中可能存在的漏洞，有 Anchore ， Clair 和 Trivy

Anchore 是用 python 写的，主要功能就是对 Docker Image 的扫描，它是一个 CLI 工具，当然也可以通过 API 的方式调用； Anchore 也有一款带有界面的 Anchore Enterprise 版本

Anchore Github

Clair 是用 Golang 写的，主要实现了对 Docker image 的漏洞分析，用户可以调用它的 API 来扫描镜像中的漏洞

Clair Github

Trivy 也是用 Golang 写的，它不仅实现了对 Image 的扫描，还可以扫描文件，Git 仓库以及配置；它也是一个 CLI 工具，安装之后就可以通过命令实现扫描功能

Tricy Github

下面就用这三个扫描器分别对 Docker 官方统计的常用镜像扫描，扫描结果的对比如下：

Anchore 和 Clair 相比较 Trivy 出现的时间更早，但是扫描的结果发现 Trivy 能发现更多的漏洞，尤其是对 alphine 镜像；现在大部分镜像的基础镜像都会选择 alpine ，因为它更加轻量级而且漏洞相对较少

而 Anchore 和 Clair 对一些 alpine 镜像是扫描不出来漏洞的，但是使用 Trivy 却能够找到；之前部署的 Harbor 版本使用的扫描器是 Clair ，扫描 alphine 镜像之后没有发现漏洞，就认为是安全的；现在 Harbor2.0 之后是使用 Trivy 作为默认扫描器，对一些 alphine 就能够扫描出来漏洞了

Trivy 相对于其他两个来说，安装更加的简单，使用也更加的方便；并且能够支持多种类型的文件的扫描，目前也是 Harbor 默认的扫描器

参考连接：

https://boxboat.com/2020/04/24/image-scanning-tech-compared/

https://www.a10o.net/devsecops/docker-i