日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
部署和使用Anchore映像漏洞掃描器

[[391955]]

永定網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)公司,永定網(wǎng)站設(shè)計制作,有大型網(wǎng)站制作公司豐富經(jīng)驗。已為永定千余家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)公司要多少錢,請找那個售后服務(wù)好的永定做網(wǎng)站的公司定做!

【】無論您使用什么平臺,您的容器都基于映像。這意味著部署的安全性始于開發(fā)者與實際情況相遇的映像層面。不管您多么謹(jǐn)慎,如果容器基于含有漏洞的映像,應(yīng)用程序和服務(wù)的安全性就岌岌可危。作為云原生開發(fā)者,您無法允許這樣。

那么,您該怎么做?

通常您所做的一切基于官方映像,這些由知名的公司和開發(fā)者加以標(biāo)記。這些映像總體上值得信任。然而一旦某個漏洞成為漏網(wǎng)之魚,就會造成嚴(yán)重破壞。

如果您不實際核查這些映像,說到底全靠信任了。

您其實可以利用現(xiàn)有的工具來掃描那些映像以查找漏洞。其中一些工具安裝和運行起來很費勁。不過幸好,一些足夠簡單的工具是任何開發(fā)者或管理員都可以使用的。開源Anchore Engine(https://anchore.com/opensource/)就是這樣的工具之一。使用這款命令行工具,您可以掃描想要使用的映像,以查找是否含有任何已知的CVE問題。

我會逐步介紹安裝和使用Anchore Engine的過程,以便您不用猜測那些映像是否有漏洞。

我將在Ubuntu Server 20.04上演示,但是Anchore Engine可以部署在支持docker-compose的任何系統(tǒng)上使用。

安裝docker-compose

要注意的頭件事是docker-compose的安裝。為此,您需要先安裝docker。登錄Ubuntu服務(wù)器,執(zhí)行命令:

 
 
 
 
    
  
  
  
  
  1. sudo apt-get install docker.io -y 
    2.

安裝完成后,使用以下命令將用戶添加到docker組:

 
 
 
 
    
  
  
  
  
  1. sudo usermod -aG docker $USER 
    2.

這步完成后,注銷并重新登錄。

現(xiàn)在我們可以安裝docker-compose了。使用以下命令,下載必要的文件:

 
 
 
 
    
  
  
  
  
  1. sudo curl –L 
    2.   
  
  
  
  2. "https://github.com/docker/compose/releases/download/1.28.5/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose 
    3.

使用以下命令,授予剛下載的文件可執(zhí)行權(quán)限:

 
 
 
 
    
  
  
  
  
  1. sudo chmod +x /usr/local/bin/docker-compose 
    2.

您可以使用以下命令確認(rèn)安裝:

 
 
 
 
    
  
  
  
  
  1. docker-compose --version 
    2.

您應(yīng)該會看到類似這樣的內(nèi)容:

 
 
 
 
    
  
  
  
  
  1. docker-compose version 1.28.5, build c4eb3a1f 
    2.

部署Anchore Engine

docker-compose準(zhǔn)備就緒后,我們可以部署Anchore Engine了。使用以下命令,下載所需的docker-compose.yaml文件:

 
 
 
 
    
  
  
  
  
  1. curl -O https://engine.anchore.io/docs/quickstart/docker-compose.yaml 
    2.

文件下載完畢后,使用以下命令部署Anchore Engine:

 
 
 
 
    
  
  
  
  
  1. docker-compose up -d 
    2.

給服務(wù)啟動的時間,然后使用以下命令驗證Anchore Engine在運行:

 
 
 
 
    
  
  
  
  
  1. docker-compose exec api anchore-cli system status 
    2.

命令的輸出如下所示:

 
 
 
 
    
  
  
  
  
  1. Service apiext (anchore-quickstart, http://api:8228): up 
    2.   
  
  
  
  2. Service policy_engine (anchore-quickstart, http://policy-engine:8228): up 
    3.   
  
  
  
  3. Service simplequeue (anchore-quickstart, http://queue:8228): up 
    4.   
  
  
  
  4. Service analyzer (anchore-quickstart, http://analyzer:8228): up 
    5.   
  
  
  
  5. Service catalog (anchore-quickstart, http://catalog:8228): up 
    6.   
  
  
  
  6. Engine DB Version: 0.0.14 
    7.   
  
  
  
  7. Engine Code Version: 0.9.0 
    8.

您已準(zhǔn)備好開始掃描了。

同步Engine

使用Anchore Engine掃描映像并非很簡單。運行最后一條命令后,Anchore Engine會開始將漏洞數(shù)據(jù)與引擎進(jìn)行同步。要檢查同步狀態(tài),執(zhí)行以下命令:

 
 
 
 
    
  
  
  
  
  1. docker-compose exec api anchore-cli system feeds list 
    2.

您應(yīng)該會看到RecordCount下的所有條目都被列為“None”(圖1)。

圖1:我們的引擎正與漏洞數(shù)據(jù)同步

完全同步將需要一些時間,因此可以去處理其他一些任務(wù)。最后,RecordCount中的所有數(shù)據(jù)都有一個數(shù)值(圖2)。

圖2:Anchore Engine現(xiàn)在已同步好、可以使用了

掃描影像

不妨掃描最新的Ubuntu映像(20.04)有無漏洞。先要做的是獲取映像內(nèi)容,使用以下命令提取內(nèi)容:

 
 
 
 
    
  
  
  
  
  1. docker-compose exec api anchore-cli image add docker.io/library/ubuntu:20.04 
    2.

映像添加后,我們使用一組Anchore分析器對映像進(jìn)行分析,對元數(shù)據(jù)進(jìn)行分類。要做的頭件事是使用wait命令,確保映像轉(zhuǎn)換成已分析映像,使用以下命令:

 
 
 
 
    
  
  
  
  
  1. docker-compose exec api anchore-cli image wait docker.io/library/ubuntu:20.04  
    2.   
  
  
  
  2. The output of the above command should like similar to: 
    3.   
  
  
  
  3. Image Digest: sha256:e3d7ff9efd8431d9ef39a144c45992df5502c995b9ba3c53ff70c5b52a848d9c 
    4.   
  
  
  
  4. Parent Digest: sha256:b4f9e18267eb98998f6130342baacaeb9553f136142d40959a1b46d6401f0f2b 
    5.   
  
  
  
  5. Analysis Status: analyzed 
    6.   
  
  
  
  6. Image Type: docker 
    7.   
  
  
  
  7. Analyzed At: 2021-03-20T13:00:42Z 
    8.   
  
  
  
  8. Image ID: 4dd97cefde62cf2d6bcfd8f2c0300a24fbcddbe0ebcd577cc8b420c29106869a 
    9.   
  
  
  
  9. Dockerfile Mode: Guessed 
    10.   
  
  
  
  10. Distro: ubuntu 
    11.   
  
  
  
  11. Distro Version: 20.04 
    12.   
  
  
  
  12. Size: 78632960 
    13.   
  
  
  
  13. Architecture: amd64 
    14.   
  
  
  
  14. Layer Count: 3 
    15.   
  
  
  
  15. Full Tag: docker.io/library/ubuntu:20.04 
    16.   
  
  
  
  16. Tag Detected At: 2021-03-20T12:58:34Z 
    17.

如果所有數(shù)據(jù)已填寫完畢,您可以繼續(xù)下一步??梢允褂靡韵旅钫页鲇诚裰泻械拿總€軟件:

 
 
 
 
    
  
  
  
  
  1. docker-compose exec api anchore-cli image content docker.io/library/ubuntu:20.04 os 
    2.

最后,我們使用以下命令運行漏洞掃描:

 
 
 
 
    
  
  
  
  
  1. docker-compose exec api anchore-cli image vuln docker.io/library/ubuntu:20.04 all 
    2.

掃描完成后,它將報告映像中找到的所有已知CVE,并相應(yīng)地報告(圖3)。

圖3:最新的Ubuntu 20.04映像上標(biāo)記的最高CVE被標(biāo)記為“中等”(Medium)

好了?,F(xiàn)在,您已有了關(guān)于映像安全的必要信息,可以采取措施了。如果您找到的映像含有違反公司安全政策的CVE(并可能導(dǎo)致問題),可以丟棄該映像、另找一個映像,或者等到這些漏洞得到解決(或您自己解決)。

定期使用Anchore Engine之類的工具可以確保您的云原生開發(fā)生命周期始終以安全的基礎(chǔ)開始。

原文標(biāo)題:Deploy and Use the Anchore Image Vulnerability Scanner,作者:Jack Wallen

【譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為.com】


文章標(biāo)題:部署和使用Anchore映像漏洞掃描器
網(wǎng)站鏈接:http://www.5511xx.com/article/cocjcho.html