容器安全扫描工具分享

发布时间：2021-12-28 09:31 所属栏目：53 来源：互联网

导读：在现代软件开发中，我们会使用一些公共镜像作为基础镜像来快速构建我们的应用镜像，并将其部署到生产环境中。随着越来越多的应用程序被容器化，容器安全也随之变得越来越重要。在项目的流水线中，我们可以使用漏洞扫描器进行扫描并提前获得反馈，实现安全

在现代软件开发中，我们会使用一些公共镜像作为基础镜像来快速构建我们的应用镜像，并将其部署到生产环境中。

随着越来越多的应用程序被容器化，容器安全也随之变得越来越重要。在项目的流水线中，我们可以使用漏洞扫描器进行扫描并提前获得反馈，实现 “安全左移” ，也可以更好的实践敏捷。

方案1：在镜像注册表中定期扫描
通过这种方式，我们需要为镜像注册表添加一个安全扫描程序，扫描程序可以是一个定时任务(Cron Job) 作业，也可以是由特定的人触发的可执行操作。

如果是一个定时任务，它将在特定时刻由定时任务自动触发。例如，Docker Hub 会在特定的时间扫描他们的官方注册表，当有任何漏洞被扫描出来时，它会向镜像维护者发送报警信息。

方案2：将扫描工具集成到 Pipeline 中
另一种方法是在 Pipeline 上对镜像产物进行扫描，这样更加简单高效。当我们将代码推送到代码存储库时， Pipeline 将自动执行扫描镜像的命令。因为 Pipeline 每次都是无差别地执行，所以我们可以发现任何安全问题并及时报警修复。

现在，越来越多的团队或公司使用敏捷来开发他们的项目。如果我们能够尽早地发现任何安全问题或者漏洞，我们就可以在产品发布之前降低产品的安全风险。Pipeline 是确保每一行代码和基础运行环境的安全性是的最好方法之一，因为它可以在提交代码时自动执行。

容器安全扫描工具对比
针对上述解决方案，我们调查了 Trivy、Claire、Anchore Engine、Quay、Docker hub 和 GCR 等几种扫描工具，从不同维度进行对比。

（编辑：ASP站长网）