我需要找到一种可以满足团队需求的工具。我们将允许开发人员早晚将自己的docker基本映像推送到注册表,并需要找到一种工具来检查这些映像并扫描,批准/拒绝并生成这些映像的报告。
我们的注册机构是Artifactory,并且将会继续存在,但是存在一些空白。我也研究X射线,但据我所知,jfrog似乎没有提供一些确实需要的东西。
我需要一种将注册表和图像列入白名单的方法,并且需要能够将规则应用于X期间未使用的图像,例如删除它们或生成手动干预的报告。两者似乎都没有被Artifactory-ray覆盖。
似乎所涵盖的是,漏洞扫描和许可证扫描还不够。
任何推荐都将受到重视。
答案 0 :(得分:4)
我会尽力涵盖所有方面。
Docker图像扫描::如果Artifactory提供了docker图像扫描,请坚持使用它,因为一切就绪。如果您没有许可版本,则喜欢使用一些{@ 3}},coreos clair,anchore,dockscan,open-scap等开源工具进行图像扫描
Docker映像真实性检查:要验证您提取的映像是否来自受信任的源(以检查映像真实性),docker提供了自己的开源工具Vuls。
Docker守护程序安全性检查,除了专注于Docker映像安全性之外,还应确保根据docker notary设置配置了Docker守护程序。
您还可以评估许多其他commercial tools(它们具有用于评估的试用版,并提供了更多方式来提高容器安全性):recommended,Twistlock,anchore enterprise ,Docker trusted Registry等。
注意:其中许多工具还具有您在问题中提出的reporting功能。这些工具也可以像Jenkins一样与CI / CD管道集成,例如sysdig secure。
请通过以下参考链接提供更多信息:
https://sysdig.com/blog/20-docker-security-tools/
希望这会有所帮助。