隨著Docker、Kubernetes技術(shù)的成熟，容器也成了當(dāng)前最火的開發(fā)理念之一。它是云原生概念的重要組成部分，能夠以輕量化、低成本的方式支撐云上應(yīng)用運(yùn)行，具有可移植性、一致性和高效率等優(yōu)點(diǎn)。據(jù)云原生計(jì)算基金會(huì)（CNCF）調(diào)查數(shù)據(jù)顯示，96%的企業(yè)組織已經(jīng)開始積極使用或評(píng)估測(cè)試容器技術(shù)。

然而，就像網(wǎng)絡(luò)安全一樣，確保容器安全運(yùn)行是一項(xiàng)復(fù)雜的活動(dòng)，需要結(jié)合專業(yè)的人員、流程、技術(shù)和產(chǎn)品。不過目前，行業(yè)中已有多種類型的Docker安全管理工具可用于解決容器安全方面的問題，主要包括：

• Docker配置檢查類工具：主要掃描Docker鏡像端口和網(wǎng)絡(luò)配置，以識(shí)別和標(biāo)記潛在問題；
• Docker訪問管理類工具：主要通過分配特定的角色和職責(zé)，幫助限制和監(jiān)控Docker容器對(duì)資源的訪問；
• 可自定義的Docker策略類工具：允許用戶在容器中創(chuàng)建、實(shí)施和監(jiān)控自己的安全策略，掃描各種文件類型，并專注于管理與容器映像關(guān)聯(lián)的元數(shù)據(jù)；
• Docker應(yīng)用安全類工具：這類工具主要用于保護(hù)Docker容器中的應(yīng)用程序代碼。

借助先進(jìn)的Docker安全管理工具，企業(yè)組織可以自動(dòng)掃描Docker鏡像并查找安全漏洞，發(fā)現(xiàn)其中已過時(shí)的軟件包或已知的安全漏洞；此外，這些工具還可以有效幫助安全人員分析Docker鏡像的內(nèi)容，包括配置參數(shù)和關(guān)聯(lián)項(xiàng)等，從而識(shí)別可能導(dǎo)致容器應(yīng)用安全隱患的潛在風(fēng)險(xiǎn)。本文收集整理了目前最流行的10款容器安全防護(hù)工具，并對(duì)其應(yīng)用特點(diǎn)進(jìn)行了分析。而且，企業(yè)組織可以免費(fèi)的方式，使（試）用這些工具來解決和容器應(yīng)用相關(guān)的安全問題。

01Docker Bench

圖片

Docker Bench是一款非常流行的容器安全防護(hù)工具，主要用于檢查已安裝Docker系統(tǒng)的安全性配置。它能夠根據(jù)常見的安全最佳實(shí)踐來自動(dòng)評(píng)估Docker主機(jī)，并為增強(qiáng)Docker環(huán)境的安全性提供建議。

主要功能：

• 檢查Docker守護(hù)進(jìn)程是否安全配置以及是否啟用了容器運(yùn)行時(shí)安全特性；
• 識(shí)別Docker主機(jī)中的潛在漏洞，并提供全面的安全評(píng)估；
• 生成安全審計(jì)的詳細(xì)報(bào)告，并包含完整的測(cè)試結(jié)果信息；
• 幫助企業(yè)實(shí)現(xiàn)Docker環(huán)境遵循行業(yè)公認(rèn)的最佳實(shí)踐；
• 可用性強(qiáng)，非常容易整合到現(xiàn)有的安全工作流中；
• 免費(fèi)使用，適合尋找快速評(píng)估Docker安全配置工具的企業(yè)組織。

傳送門：https://github.com/docker/docker-bench-security

02Spectral

圖片

Spectral是一款功能表現(xiàn)強(qiáng)大的Docker漏洞掃描平臺(tái)，可以充當(dāng)源代碼及其他開發(fā)資源的安全管控工具。它可以幫助容器應(yīng)用開發(fā)者實(shí)時(shí)監(jiān)控和檢測(cè)API密鑰、令牌、憑據(jù)和安全配置中的問題。

主要功能：

• 持續(xù)掃描和監(jiān)控已知和未知的資產(chǎn)，以防數(shù)據(jù)泄露；
• 與流行的CI系統(tǒng)（比如Jenkins和Azure DevOps）無縫集成；
• 用戶可以創(chuàng)建和使用自定義檢測(cè)器，以滿足特定的安全需求；
• 支持500余種不同的堆棧，與編程語言無關(guān)；
• 面向開發(fā)者設(shè)計(jì)，提供干凈的用戶界面和命令行方法；
• 提供與Azure DevOps的深度集成，支持實(shí)時(shí)漏洞檢測(cè)、策略實(shí)施等功能；
• 注重代碼和數(shù)據(jù)的安全性和隱私性，并且不與GitHub連接；
• 可以免費(fèi)試用，同時(shí)支持商業(yè)化的定制服務(wù)。

傳送門：https://spectralops.io/

03Clair

圖片

Clair是一款免費(fèi)的開源版容器漏洞分析工具，可以對(duì)Docker容器中的漏洞進(jìn)行靜態(tài)分析。容器應(yīng)用開發(fā)者目前廣泛使用它來檢索容器鏡像，并將其與已知漏洞進(jìn)行匹配。

主要功能：

• 允許用戶從用戶定義的各個(gè)數(shù)據(jù)源更新漏洞數(shù)據(jù)；
• 提供API接口，以便客戶查詢某個(gè)容器鏡像的漏洞數(shù)據(jù)庫；
• 可以對(duì)容器鏡像執(zhí)行逐層分析，檢查每一層是否存在已知的安全漏洞；
• 可以為每個(gè)鏡像中存在的特性創(chuàng)建列表，以檢索容器鏡像；
• 能夠與Docker生態(tài)系統(tǒng)無縫集成；
• 提供名為Clair-scanner的命令行工具，能夠有效簡化掃描過程。

傳送門：https://github.com/quay/clair

04Anchore

圖片

Anchore是一款非常流行的商業(yè)版容器漏洞掃描工具。它借助一套全面的API和CLI工具，幫助開發(fā)環(huán)境、CI/CD管道、注冊(cè)中心和運(yùn)行時(shí)環(huán)境的容器掃描過程實(shí)現(xiàn)自動(dòng)化。

主要功能：

• 識(shí)別過時(shí)的軟件包版本及依賴項(xiàng)中的漏洞；
• 通過托管在Anchore服務(wù)器上的Bash腳本提供內(nèi)聯(lián)掃描功能；
• 提供全面的掃描結(jié)果，包括關(guān)于鏡像的元數(shù)據(jù)和已識(shí)別問題的表格；
• 可靈活定制，允許用戶定義自己的安全策略；
• 幫助用戶實(shí)現(xiàn)容器漏洞掃描工作的自動(dòng)化；
• 可以免費(fèi)試用，同時(shí)提供“團(tuán)隊(duì)版”“商業(yè)版”“終極+版”和“高級(jí)版”四種商業(yè)方案。

傳送門：https://anchore.com/container-vulnerability-scanning/

05JFrog

圖片

JFrog是一款功能比較全面的Docker漏洞掃描工具，能夠涵蓋Docker鏡像的整個(gè)生命周期。用戶可以使用JFrog來管理應(yīng)用開發(fā)、漏洞分析、工件流控制和分發(fā)。

主要功能：

• 能夠快速掃描本地Docker鏡像以檢測(cè)安全漏洞；
• 能夠?qū)ocker鏡像執(zhí)行深度遞歸掃描；
• 能夠全面分析含有受感染工件的所有Docker鏡像；
• 能夠覆蓋Docker鏡像的整個(gè)生命周期安全防護(hù)；
• 可以免費(fèi)試用，同時(shí)提供專業(yè)版、企業(yè)X版和企業(yè)+版。用戶也可以根據(jù)自身的需求定制方案。

傳送門：https://jfrog.com/integration/xray-docker-security-scanning/

06Aqua Security/ Trivy

圖片

Aqua Security的Trivy公司推出的一款面向Docker容器和Kubernetes集群的開源漏洞管理工具。用戶可以使用它來檢測(cè)各種操作系統(tǒng)和編程語言中的漏洞，包括Oracle Linux和Red Hat Enterprise Linux。

主要功能：

• 全面涵蓋操作系統(tǒng)軟件包和編程語言依賴項(xiàng)；
• 可以與Docker Desktop無縫集成，允許開發(fā)者直接從Docker控制平臺(tái)輕松掃描容器鏡像以查找漏洞；
• 提供快速無狀態(tài)掃描，使其易于集成到日常例程、腳本和持續(xù)集成（CI）管道中；
• 允許開發(fā)者解析和掃描不限數(shù)量的容器鏡像；
• 支持多種編程語言、操作系統(tǒng)軟件包和應(yīng)用程序依賴項(xiàng)；
• 在軟件開發(fā)生命周期中支持工件和依賴項(xiàng)的早期掃描，遵循左移安全原則；
• 可以免費(fèi)使用，無需付費(fèi)購買。

傳送門：https://trivy.dev/

07Armo

圖片

Armo是另一款面向Docker鏡像和Kubernetes集群的流行的安全掃描工具，可以幫助企業(yè)組織在SLDC或第三方注冊(cè)中心的早期階段開展漏洞檢測(cè)工作。

主要功能：

• 為Docker容器提供運(yùn)行時(shí)保護(hù)；
• 檢測(cè)操作系統(tǒng)軟件包、庫和應(yīng)用程序依賴項(xiàng)中的漏洞，允許用戶采取適當(dāng)?shù)难a(bǔ)救措施；
• 支持用戶定義和執(zhí)行Docker容器的安全策略；
• 利用威脅情報(bào)及時(shí)了解最新的安全威脅和漏洞；
• 提供安全性審計(jì)和報(bào)告功能，幫助企業(yè)滿足合規(guī)需求；
• 提供免費(fèi)版，同時(shí)也有付費(fèi)的團(tuán)隊(duì)版和企業(yè)版。

傳送門：https://www.armosec.io/

08Sysdig Falco

圖片

Falco是一款面向主機(jī)、容器和Kubernetes的運(yùn)行時(shí)安全開源版解決方案，可以幫助企業(yè)實(shí)時(shí)了解容器運(yùn)行的異常行為、潛在安全威脅和違規(guī)活動(dòng)。

主要功能：

• 實(shí)時(shí)了解容器化應(yīng)用程序，并檢測(cè)可能惡意的活動(dòng)和異常行為；
• 旨在在云原生環(huán)境中無縫工作，包括Docker容器和Kubernetes
• 允許用戶根據(jù)具體需求定制安全規(guī)則。
• 詳細(xì)記錄檢測(cè)到的事件，提供容器活動(dòng)的審計(jì)跟蹤記錄。
• 擁有活躍社區(qū)的開源項(xiàng)目。
• 免費(fèi)使用，無需購買。

傳送門：https://falco.org/

09Rapid7  InsightVM

圖片

Rapid7公司為Docker漏洞掃描和容器安全提供了一系列工具。Rapid7 InsightVM廣泛用于端點(diǎn)掃描、風(fēng)險(xiǎn)優(yōu)先級(jí)確定和修復(fù)。

主要功能：

• 可以深入了解容器鏡像帶來的風(fēng)險(xiǎn)。
• 可以掃描容器鏡像，發(fā)現(xiàn)托管系統(tǒng)，為漏洞賦予風(fēng)險(xiǎn)分值，并提供補(bǔ)救指導(dǎo)；
• 容器化掃描引擎允許跨Docker環(huán)境進(jìn)行可擴(kuò)展的漏洞掃描，易于部署，提供日期安排選項(xiàng)；
• 可以免費(fèi)使用，同時(shí)支持定制化的商業(yè)方案。

傳送門：https://www.rapid7.com/products/insight

10Docker Scan

圖片

Docker Scan CLI是一款用來掃描Docker鏡像的內(nèi)置工具。它依賴漏洞數(shù)據(jù)庫來識(shí)別已知的安全漏洞。因此，用戶需要確保Docker和數(shù)據(jù)庫版本最新，以獲得準(zhǔn)確的檢測(cè)結(jié)果。

主要功能：

• 支持Docker Hub存儲(chǔ)庫的基本漏洞掃描，并自動(dòng)掃描Docker鏡像中的漏洞；
• 通過將Docker鏡像推送到Docker Hub來掃描鏡像，以便用戶可以在存儲(chǔ)庫頁面上查看漏洞報(bào)告；
• Docker Scout提供了最新的漏洞信息，并給出了改進(jìn)安全狀況的建議性修復(fù)步驟；
• 是一種非常簡單的掃描Docker鏡像漏洞方法，免費(fèi)使用。

傳送門：https://github.com/docker/scan-cli-plugin

參考鏈接：https://spectralops.io/blog/top-10-docker-vulnerability-scanners-for-2023/