BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Docker安全扫描

| 作者 Chris Swan 关注 490 他的粉丝 ,译者 张卫滨 关注 12 他的粉丝 发布于 2016年5月16日. 估计阅读时间: 4 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

Docker Inc宣布正式提供Docker安全扫描(Docker Security Scanning)功能,之前它被称为Nautilus项目。这个功能的发布还伴随着CIS Docker Security Benchmark的更新,使其与Docker 1.11.0保持一致,Docker Bench工具也进行了更新,它可以检查主机和daemon配置是否匹配推荐的安全基准。

从2016年5月10日开始,Docker Cloud的私有repo客户能够在有限的时间范围内免费体验安全扫描的特性,并且将会迅速扩展至所有的Docker Cloud用户。安全扫描也将会成为Docker Datacenter的一个集成特性。扫描将会集成到“构建、传送、运行”生命周期之中,其过程会分为如下四步:

  1. 扫描基础镜像,签名并将其推送至中央仓库(在这里,系统会与Docker Content Trust集成);
  2. 开发人员添加安全的基础镜像并推送完整的应用来进行扫描。创建一份物料清单(bill of materials,BOM)并列出要修复的漏洞;
  3. BOM达到就绪(satisfactory)状态之后,应用镜像会进行签名,这样就可以部署到生产环境了(也就是部署到配置已经得到Docker Bench保护的主机上,这些主机也会信任安全的repo);
  4. 当新的漏洞添加到扫描数据库时,系统会通知repo中已部署镜像的问题。这样就可以创建新的镜像,有问题的容器就可以被新打上补丁的容器所替代。

安全扫描引擎能够在静态链接的二进制文件(statically linked binaries)中找到对安全至关重要的软件,如OpenSSL,所以它不仅仅是扫描文件并创建哈希。但是,它依赖于特定语言的支持模块,因此现在还不能用于Golang的静态二进制文件。

据Docker Inc的安全主管Nathan McCauley介绍,扫描技术已经保护了对Docker Hub“超过4亿次的pull”请求,但是他并没有提及在这些请求中包含了多少已知有漏洞的软件。McCauley接着说官方的Docker镜像将会全部使用安全扫描,他们致力于“更及时地”修复新发现的问题。

CIS Docker Security Benchmark最初是在一年前发布的,它是与Docker 1.6共同使用的。McCauley并不期望Benchmark会与Docker引擎的发布保持相同的节奏,但是Docker Bench工具的更新会比Benchmark更加频繁,以便于跟踪新的功能。

McCauley还非常热情地介绍了Docker Trusted Registry(DTR)基于角色的访问控制(Role Based Access Control,RBAC)功能以及Docker Universal Control Plane(UCP)产品。基于属性的访问控制(Attribute Based Access Control,ABAC)功能可能也会推出,因为有一些客户要求该功能。这些安全功能的发布有一部分是提供给所有的Docker用户的,不过他们主要的关注点在于收费(premium)的产品和服务,Docker Inc似乎专注于管理和安全功能市场,这些功能构建在大量流行的底层开源项目之上。

查看英文原文Docker Security Scanning

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT