tg-me.com/golang_for_two/46
Create:
Last Update:
Last Update:
Note #22 Vulnerability Static Analysis for Containers 🛡🐳
Quay.io содержит интересный репорт:
Quay Security Scanner has detected 74 vulnerabilities.
Patches are available for 2 vulnerabilities.
4 High-level vulnerabilities.
Все это осуществляется с помощью тула
clair от CoreOS team - который умеет сканировать ваши докер имеджи на разные CVE уязвимости.Недавно мне пришлось фиксить такие High severity issues… 🤔
Чтобы запустить
clair локально нам понадобится:1) Свежий дамп с базой данных CVE: тут 2 варианта либо самостоятельно залить дамп в пустую PostgreSQL БД, либо взять готовый имедж PostgreSQL с уже предустановленным дампом, либо накатить последний дамп руками занимает минут 40 :( Но добрый человек все уже сделал за Вас):
docker run -p 5432:5432 -d --name db arminc/clair-db:latest
2) Запустить clair api локально
docker run -p 6060:6060 --link db:postgres -d --name clair arminc/clair-local-scan:latest
3) и установить
clair-scanner локально (прочитать тут https://github.com/arminc/clair-scanner)clair-scanner -r grafana_report.txt --ip=192.168.1.200 grafana/grafana:master
2019/09/02 17:25:16 [INFO] ▶️ Start clair-scanner
2019/09/02 17:25:20 [INFO] ▶️ Server listening on port 9279
2019/09/02 17:25:20 [INFO] ▶️ Analyzing a61298a1d179786c2c176dc6c3e20c2d0cad25582e53a7bbec428fc4370a679e
...
73a18bb7d185e7c6763c97311263a8b773ce0641adb2186f7291702f4ef437bd
2019/09/02 17:25:24 [INFO] ▶️ Image [grafana/grafana:master] contains NO unapproved vulnerabilities
Дальше можно фиксить уязвимости, как правило, просто обновив некоторые библиотеки и вуаля 🎉, возвращаем долг опенсорсу, в виде PRs например в grafana ;)
P.S. Также данные проверки можно добавить к своему CI/CD.
https://ibb.co/XLdPmQQ
BY 🇺🇦 Go for two :)
Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283
Share with your friend now:
tg-me.com/golang_for_two/46