哪里可以找到经过安全加固的 docker 镜像

信息安全 硬化 码头工人
2021-08-28 21:07:15

是否有任何服务为 Python、PHP、Node、Java 等常见平台提供经过认证的、安全强化的 Docker 映像,具有 0 个主要/关键 CVE。

目前,我们正在使用来自 RedHat 的那些,但问题是,即使我扫描 RedHat 提供的 A 级(意味着干净)图像,通过 Docker 受信任的注册表 CVE 数据库,我发现至少有 50 个关键 CVE 和 50 多个主要 CVE他们; 因此,我无法建立一个基线,在此基础上我可以扫描用户添加的应用程序以查找 CVE,并可能决定未通过安全扫描测试。

我们需要这种服务来建立一个安全的镜像构建管道,这样我们就不会开始忽视应用程序级别的 CVE,一旦我们修复了基础镜像中的所有 CVE,或者获取了所有 CVE 都被修复的基础镜像定期然后我们将能够清楚地自动确定 CVE 是由于应用程序,并停止在管道中推广图像。

2个回答

我认为互联网安全中心 (CIS) 基准是当前强化的黄金标准。
我会警告不要使用预先强化的图像,而是建议您使用可以审查/批准的开源脚本自己强化它,以确保您不会在您的环境中引入恶意/有目的的缺陷。

可以在此处找到 Docker 的 CIS 基准

可以在此处找到一个开源强化示例(那里有很多)

然后 Docker 提供以下脚本来检查更改是否已成功进行。

在 Docker Hub 上具有任何形式保证的唯一镜像是 Docker 维护的“官方”镜像。

然而,重要的是要认识到维护人员已经采取了他们不一定要为每个发布的 CVE 更新映像的方法(更多在这里

如果你想要 CVE 扫描仪干净的图像,我会推荐类似的东西

  1. 从官方图片开始
  2. 启动基于该图像的容器
  3. 使用包管理器更新
  4. 将生成的容器另存为图像
  5. (可选)将图像压缩回单层

然后根据需要定期运行此过程以保持干净的图像。

AFAIK 没有人制作过经过认证的强化图像。

其它你可能感兴趣的问题
上一篇准备改用新的 GPG 密钥 - 我的旧密钥怎么办? 下一篇最近的 ESLint hack 或者我们如何保护自己免受安装恶意 npm 包?