Что отличает Docker Scout от некоторых других предложений, так это то, что он не только отображает CVE, но и состав образа.
Безопасность ваших контейнеров строится на фундаменте, сформированном из используемых вами образов.
Если вы работаете с образом, изобилующим уязвимостями, ваши контейнеры будут также уязвимы.
Напротив, если вы создаете свои контейнеры на прочном фундаменте из безопасных образов, эти контейнеры будут более безопасными по умолчанию (при условии, что вы следуете стандартным лучшим практикам).
Каждый разработчик контейнеров, который достаточно долго работал с такими платформами, как Docker и Kubernetes, понимает эту идею.
Проблема заключается в том, чтобы реализовать ее на практике.
К счастью, существует множество инструментов для сканирования образов на предмет уязвимостей.
Одним из таких инструментов является Docker Scout, который был выпущен в ранней предварительной версии вместе с Docker Desktop 4.17.
Этот инструмент можно использовать как в графическом интерфейсе Docker Desktop, так и в интерфейсе командной строки, и он позволяет получить представление о содержимом образа контейнера.
Отличительной особенностью Docker Scout от других предложений является то, что он не только отображает CVE, но и состав образа (например, базовый образ и рекомендации по обновлению). Другими словами, все, кто зависит от Docker, должны считать Scout обязательным к использованию.
Мы покажем вам, как использовать Docker Scout из интерфейса командной строки Docker.
Как установить Docker CE
Первое, что мы сделаем, это установим Docker CE.
🐳 Как установить Docker на Kali Linux
Я буду демонстрировать на Kali linux, поэтому если вы используете другой дистрибутив Linux, вам придется изменить команды установки по мере необходимости.
Если вы уже установили Docker или Docker Desktop, вы можете пропустить эти шаги.
Сначала добавьте официальный GPG-ключ Docker с помощью команды:
|
|
Затем добавьте репозиторий Docker:
|
|
Обновим с апт:
|
|
Наконец, мы можем установить последнюю версию Docker CE:
|
|
Далее необходимо добавить своего пользователя в группу docker с помощью команды:
Выйдите из системы и снова войдите в нее, чтобы изменения вступили в силу.
Как запустить Docker Scout из командной строки
Если вы предпочитаете командную строку, Docker Scout поможет вам в этом.
Давайте рассмотрим образ NGINX.
Есть четыре основные команды, которые можно использовать в Docker Scout CLI, а именно:
- docker scout compare – Сравнивает два образа и отображает различия.
- docker scout cves – Отображает CVE, идентифицированные для любых программных артефактов в образе.
- docker scout quickview – отображает быстрый обзор образа.
- docker scout recommendations – отображает все доступные обновления базового образа и рекомендации по устранению.
Запустим команду quickview на последнем образе NGINX.
🐳 Топ самых важных команд Docker
Эта команда выглядит следующим образом:
|
|
Результаты покажут все CVE, найденные в ваших образах, базовом образе и обновленном базовом образе.
|
$ docker scout cves nginx:latest
$ docker scout recommendations nginx:latest [s/imterm
|
Я бы настоятельно рекомендовал выполнить команду recommendations, поскольку она дает довольно много важной информации об образе.
- 🐝 Как отсканировать ваш выпуск Docker с помощью docker-bench-test
- 🐳 Проверка образов и контейнеров Docker с помощью VirusTotal: пошаговое руководство
- 🐳 Как использовать Docker для проверки безопасности ПО
- 🐳 Сканирование образов Docker на наличие уязвимостей с помощью Trivy
- 🐳 Как защитить Docker в производственной среде?
