本文是關(guān)于一款Docker安全掃描器的一般性使用介紹，其原名為 Project Nautilus 。它 可以作為Docker云私有倉庫或者Docker Hub官方倉庫的擴展服務(wù)，安全掃描會為你的Docker鏡像提供主動的風(fēng)險管理和軟件合規(guī)管理的詳細(xì)安全配置信息。

Docker安全掃描在你部署之前 可以 對你的鏡像進行二進制層面的掃描， 并 提供一個詳細(xì)的材料清單(BOM)列出所有的層級和組件，不斷監(jiān)控新的漏洞，在新的漏洞出現(xiàn)時推送通知。

當(dāng)你考慮現(xiàn)代軟件供應(yīng)鏈時，一個公司會在不同的時段協(xié)調(diào)一些不同的開發(fā)者和IT團隊，來建立棧和基礎(chǔ)設(shè)施，移動和運行軟件。 A pp開發(fā)團隊最關(guān)心的就是盡可能快的寫好軟件并交付給客戶。然而，軟件供應(yīng)鏈并不是以開發(fā)者結(jié)束，它還需要反復(fù)的迭代，在團隊之間分享代碼，在各個環(huán)境之間移動代碼。Docker讓app無縫移植并且通過安全平臺傳輸，控制安全訪問和安全內(nèi)容。Docker安全掃描提供了深入Docker鏡像內(nèi)部的安全內(nèi)容，包含內(nèi)部組件的安全配置。這些信息在app生命周期的每個步驟都是可用的。

讓我們深入Docker安全掃描的更多細(xì)節(jié)，看看它是怎么工作的吧。

Docker安全掃描與Docker云協(xié)同使用(還有Docker數(shù)據(jù)中心)，在新的鏡像上傳到倉庫時觸發(fā)一系列事件。這個服務(wù)包含一個掃描觸發(fā)器，掃描器，數(shù)據(jù)庫，框架插件和連接到CVE數(shù)據(jù)庫的驗證服務(wù)。

深入查看安全配置

Docker安全掃描服務(wù)在用戶上傳鏡像到Dokcer云端倉庫時啟動。掃描服務(wù)將鏡像的各個層次和組件進行分離。然后組件發(fā)送給校驗服務(wù)來與CVE數(shù)據(jù)庫一起進行檢查，不僅僅包括包名，版本，還包括二進制層面的內(nèi)容掃描。

***一步非常重要因為這個方法確保包的正確性。

一個Docker鏡像是由許多層組成的，每個層都有許多組件和包，每個包都有相應(yīng)的名字和版本信息。當(dāng)漏洞報告給CVE數(shù)據(jù)庫時，他們會跟一個包名和版本信息綁定。

許多服務(wù)都只是簡單的校驗一下包的名字，通過查詢數(shù)據(jù)庫中已有問題的方式。這樣做是不夠的，這不足以回答“容器中運行了什么?”。除了校驗包名之外，我們對每個層級的二進制進行分析，然后匹配每個二進制的簽名來確定組件和版本信息，然后查看數(shù)據(jù)庫中已知漏洞的引用。這讓我們能夠找到標(biāo)準(zhǔn)BOM以外的其他組件(比如dpkg – l 或 yum list installed)，包括任何靜態(tài)鏈接來準(zhǔn)確標(biāo)識組件，這些組件已經(jīng)發(fā)布補丁并且之前報告過漏洞。這個方法降低了誤報率，因為相關(guān)的包可能已經(jīng)修復(fù)了漏洞但是沒有更新版本信息，同時也能防止某些人故意將一個惡意的包進行重命名。

為了提供保護，Docker安全掃描支持大部分的操作系統(tǒng)，包括主流的Linux發(fā)行版和windows服務(wù)器語言和二進制。

一旦所有東西掃描完成并返回結(jié)果，就會生成BOM的細(xì)節(jié)然后存儲到Docker安全掃描數(shù)據(jù)庫，并打上鏡像的標(biāo)簽。對于每個掃描報告，結(jié)果發(fā)送到Docker云然后發(fā)表到UI。

持續(xù)監(jiān)控并推送通知

鏡像掃描能夠?qū)崟r提供信息。Docker安全掃描持續(xù)性的監(jiān)視和通知推送來保證你的鏡像安全。Dokcer安全掃描數(shù)據(jù)庫存儲鏡像BOM的細(xì)節(jié)和每個組件的漏洞狀態(tài)。當(dāng)一個新的漏洞報告給CVE數(shù)據(jù)庫，Docker安全掃描將會在數(shù)據(jù)庫中查看那個鏡像相關(guān)的包會受到影響然后推送通知郵件給管理員。

這些推送信息包含漏洞的信息，以及倉庫中受影響的目標(biāo)列表。通過這些信息，IT團隊知道哪些軟件受影響，從而可以主動進行管理，審視漏洞的嚴(yán)重性并快速做出決策。

整個內(nèi)容生命周期的安全

Docker安全掃描是一個很棒的Docker工作流來幫助公司構(gòu)建，遷移和運行安全軟件。當(dāng)與安全內(nèi)容結(jié)合在一起，你可以確保軟件的正確性，保證軟件沒有被篡改。例如，官方倉庫從 DockerCon EU in Nov 2015 開始就使用安全掃描來獲取漏洞信息，修復(fù)問題，用內(nèi)容信任簽名更新鏡像。這一特性讓Docker能夠讓上游可以給你提供更安全的鏡像。

開始使用

Docker云的用戶的私有倉庫可以免費使用Docker安全掃描(次數(shù)是有限的)。如果你登錄了你可以直接查看Docker官方鏡像的掃描結(jié)果，不管你是不是訂閱用戶。安全掃描也會擴展Docker數(shù)據(jù)中心和Docker云給用戶。

在Docker云使用：

為了使用這一特性，進入Account Settings > Plans然后勾選。一旦激活，每個私有倉庫最常使用的3個目標(biāo)都會被掃描，BOM結(jié)果將會在24小時內(nèi)顯示。然后，docker安全掃描會在你每次上傳之后掃描你的鏡像。

下面的截圖展示了用戶的5個私有倉庫掃描結(jié)果。 Dokcer安全選項在平臺的底部。