專注docker安全:SecurityScanning

今天我們宣佈 Docker Security Scanning（Docker安全掃描，原名專案鸚鵡螺）全面上市。Security Scanning 目前以一個服務附加在 Docker Cloud 私有倉庫和位於Docker Hub的官方倉庫。Security Scanning 為您的docker映象積極地進行風險管理和提供詳細的安全配置，並簡化軟體合規性。Docker Security Scanning 會在您的映象部署之前進行二進位制級別的掃描，提供詳細的物料清單（BOM），列出所有的層和元件，持續進行漏洞監控，當發現新的漏洞時提供通知的服務。

當您考慮到現代軟體的供應鏈，這通常包括一些不同的開發場景和跨時區的公司裡面的IT團隊，棧和基礎設施去構建、交付和執行應用。應用開發團隊最主要的關注點是構建一個最好的應用，並且以儘可能快地交付給客戶。然而，軟體供應鏈並不會讓開發者停止開發的工作，這是一個持續的迴圈和迭代，包括與團隊共享程式碼和遷移環境。Docker讓應用光滑移植並且預設執行在安全的平臺，以確保安全的訪問和對安全內容容量的控制。Docker Security Scanning 通過提供在docker映象內深度搜尋以及元件的安全配置去交付安全的內容。此資訊在應用的生命週期每個階段都是有效的。讓我們深入瞭解Docker Security Scanning的細節然後看看它是怎麼工作的。

Docker Security Scanning 已經在 Docker Cloud（並將在Docker Datacenter）使用，當一個新的映象推送到倉庫時會觸發一系列的事件。其服務包括一個掃描觸發器，掃描器，一個資料庫，外掛框架和CVE資料庫的驗證服務。

當使用者/發行商推送一個映象到Docker Cloud倉庫時，Docker Security Scanning的服務會啟動。掃描器服務獲取到映象然後將它分離成相應的層和元件。然後這些元件將被送到驗證服務跟多個CVE資料庫包的名稱和版本進行對比，還會對包的內容進行二進位制級別的掃描。

最後一點尤為重要，因為這種方式可以確保這個包已經正確的宣告。

docker映象是由多個層構成，每一層可能會有很多的元件/包，每一個包都有相應的名稱和版本號。當漏洞報告給CVE資料庫時，他們被連結到一個包名和特定的版本號。

許多服務都是直接用包名在儲存著有問題的包的資料庫的做簡單的檢查。僅此是不夠的，因為它並不能保證回答“什麼東西在我的容器中執行？”這個問題。除了檢查包的名稱，Docker Security Scanning 還對每一層進行二進位制級別分析，並且把每個二進位制下隱含的標記與已知的內容和版本相匹配，同時會交叉引用已知漏洞的資料庫的內容 。這讓我們能發現不僅在標準BOM（即列出的元件的dpkg -l或安裝yum的列表），還有每一個靜態連結庫來正確識別那些庫中已經打過補丁並且回滾到之前有問題的某個版本的元件。

這種方法降低了了之前報告中未經包版本更改但已經修復問題和防止如果有人故意重新命名壞包進行分發的情況下的誤報率。

為了幫助保護你，Docker Security Scanning 包含對範圍廣泛的作業系統，包括所有主流的Linux發行版和Windows Server，語言文字和二進位制檔案的支援。

一旦所有層掃描結束並返回了結果，每一個映象和標籤的詳細的BOM將被產生並儲存在Docker Security Scanning 的資料庫。返回的結果將被髮送到Docker Cloud，將連同每一個掃描過的倉庫的標籤的BOM展示到UI層。

掃描映象的能力提供了給定時間點的洞察力。Docker Security Scanning 邁出很大的一步以通過持續的監控和通知來確保您的映象保持安全。Docker Security Scanning 的資料庫儲存著詳細的映象BOM以及相應所有元件的漏洞。當一個漏洞被報告到中央的CVE資料庫時，Docker Security Scanning 檢查我們的服務資料庫去檢視哪些映象和標籤包含了受到影響的包並通過郵件提醒倉庫的管理員。

這些通知包括漏洞本身相關的資訊，列出了那些包含漏洞的倉庫和標籤。有了這些資訊後，通過了解哪些漏洞影響了哪些軟體，審查漏洞的嚴重程度，制定正確的解決方案，IT團隊可以主動管理軟體合規性。

Docker Security Scanning 是Docker工作流上一個令人興奮的附加產品，幫助企業構建、交付和執行安全軟體。和Content Trust（內容真實）相結合後，您可以保證您的軟體做你所說的工作，而不會被惡意篡改。

舉個例子，官方倉庫從 DockerCon EU in Nov 2015 已經開始使用Security Scanning 去處理他們的漏洞配置，修復問題和協同Content Trust分發已更新的映象。這個特性讓Docker可以和上游合作伙伴上合作，為您提供更好更安全的映象。

Docker Security Scanning 目前可以在Docker Cloud上的私有倉庫計劃給使用者有限時間的免費試用。無論是不是映象的提交者，你都可以在登入後檢視到在Docker Hub的官方映象的掃描結果。Security scanning 很快將擴充到Docker Datacenter 和 Docker Cloud 的公共倉庫使用者。

在Docker Cloud體驗：

要嘗試此功能，請轉到 帳戶設定>計劃 並選擇核取方塊。一旦被啟用，每一個私有倉庫最近三個標籤將被掃描，並將24小時內由此產生BOM展示在標籤部分。隨後，Docker Security Scanning 將在您每次推送時掃描您的映象標籤。

下面的截圖顯示了5個私有倉庫計劃的使用者的計劃頁。選擇加入到Docker Security Scanning 的核取方塊出現在計劃概要的底部。

我們很高興這個，我們讓每一位私人倉庫計劃的客戶免費試用三個月。

如果你有一個Docker Hub 賬戶並且從來沒有試過Docker Cloud，別擔心，相同的登入憑證在Docker Cloud同樣可用。原生的整合保證你的Docker Hub 倉庫能在 Docker Cloud 的“Repositories” 部分展示。私有倉庫計劃提供5個私有倉庫，每個月 $7 的服務已經可以在Docker Cloud 上享受了。

本文轉自Linux就該這麼學部落格園部落格，原文連結：http://www.cnblogs.com/linuxprobe/p/5511831.html，如需轉載請自行聯絡原作者