容器安全掃描工具推薦
在現(xiàn)代軟件開(kāi)發(fā)中, 我們會(huì)使用一些公共鏡像作為基礎(chǔ)鏡像來(lái)快速構(gòu)建我們的應(yīng)用鏡像,并將其部署到生產(chǎn)環(huán)境中。
隨著越來(lái)越多的應(yīng)用程序被容器化,容器安全也隨之變得越來(lái)越重要。在項(xiàng)目的流水線中, 我們可以使用漏洞掃描器進(jìn)行掃描并提前獲得反饋,實(shí)現(xiàn) “安全左移” ,也可以更好的實(shí)踐敏捷。
基于容器的應(yīng)用程序的安全痛點(diǎn)
現(xiàn)在,我們使用先進(jìn)的技術(shù)來(lái)構(gòu)建我們的應(yīng)用程序,如 NodeJS、 Java 和 Kotlin 等,然后將代碼庫(kù)存儲(chǔ)在托管的 Git 平臺(tái)上,如 GitHub、Gitlab 等。代碼庫(kù)由我們的業(yè)務(wù)代碼和依賴(lài)關(guān)系組成;對(duì)于依賴(lài)項(xiàng),我們可以使用專(zhuān)業(yè)的掃描工具來(lái)確保安全,比如 NodeJS 的 npm audit , GitHub 的 Dependabot;至于我們的業(yè)務(wù)代碼,可以使用其他的一些安全工具可以掃描,比如 SoneQube 等。
因此,對(duì)于依賴(lài)( Dependencies)和我們的業(yè)務(wù)代碼,這些都在我們的控制之下,我們可以確保應(yīng)用程序的安全性,并且在 Pipeline 上獲得快速反饋;同時(shí)在我們將應(yīng)用程序部署到生產(chǎn)環(huán)境之前可以通過(guò)使用各種工具建立信心。但是,通常情況下我們的應(yīng)用程序運(yùn)行的系統(tǒng)環(huán)境是不受我們控制的,可能存在潛在的安全漏洞。在這我們可以換位思考一下,如果我們不能保證我們的應(yīng)用程序運(yùn)行的系統(tǒng)的環(huán)境安全,就會(huì)導(dǎo)致各種各樣意想不到的問(wèn)題,如黑客攻擊、用戶信息泄露、財(cái)產(chǎn)損失,更會(huì)對(duì)公司的聲譽(yù)造成損害。所以,確保我們產(chǎn)出物(Artifact)的安全是很重要的。
保持容器鏡像安全的 兩個(gè)方案
方案1:在鏡像注冊(cè)表中定期掃描
通過(guò)這種方式,我們需要為鏡像注冊(cè)表添加一個(gè)安全掃描程序,掃描程序可以是一個(gè)定時(shí)任務(wù)(Cron Job) 作業(yè),也可以是由特定的人觸發(fā)的可執(zhí)行操作。
如果是一個(gè)定時(shí)任務(wù),它將在特定時(shí)刻由定時(shí)任務(wù)自動(dòng)觸發(fā)。例如,Docker Hub 會(huì)在特定的時(shí)間掃描他們的官方注冊(cè)表,當(dāng)有任何漏洞被掃描出來(lái)時(shí),它會(huì)向鏡像維護(hù)者發(fā)送報(bào)警信息。
方案2:將掃描工具集成到 Pipeline 中
另一種方法是在 Pipeline 上對(duì)鏡像產(chǎn)物進(jìn)行掃描,這樣更加簡(jiǎn)單高效。當(dāng)我們將代碼推送到代碼存儲(chǔ)庫(kù)時(shí), Pipeline 將自動(dòng)執(zhí)行掃描鏡像的命令。因?yàn)?Pipeline 每次都是無(wú)差別地執(zhí)行,所以我們可以發(fā)現(xiàn)任何安全問(wèn)題并及時(shí)報(bào)警修復(fù)。
現(xiàn)在,越來(lái)越多的團(tuán)隊(duì)或公司使用敏捷來(lái)開(kāi)發(fā)他們的項(xiàng)目。如果我們能夠盡早地發(fā)現(xiàn)任何安全問(wèn)題或者漏洞,我們就可以在產(chǎn)品發(fā)布之前降低產(chǎn)品的安全風(fēng)險(xiǎn)。Pipeline 是確保每一行代碼和基礎(chǔ)運(yùn)行環(huán)境的安全性是的最好方法之一,因?yàn)樗梢栽谔峤淮a時(shí)自動(dòng)執(zhí)行。
容器安全掃描工具對(duì)比
針對(duì)上述解決方案,我們調(diào)查了 Trivy、Claire、Anchore Engine、Quay、Docker hub 和 GCR 等幾種掃描工具,從不同維度進(jìn)行對(duì)比。
參考 Trivy 官網(wǎng)
首先,我們可以將這些掃描工具按照其執(zhí)行的環(huán)境簡(jiǎn)單分類(lèi);因?yàn)?Docker Hub、GCR 和 Quay 是需要在服務(wù)端也就是容器注冊(cè)中心運(yùn)行的, 所以適合方案1;Trivy、Clair 和 Anchor Engine 可以在 Pipeline 上工作,所以適合解決方案2。
對(duì)于第一個(gè)維度:OS Package,這些所有的掃描工具都可以做到,但是對(duì)于第二個(gè)維度:Application dependencies,只有 Trivy 和 Anchore Engine 可以做到,對(duì)于第五個(gè)維度: Suitable for CI, 只有前三個(gè)符合條件。
對(duì)于漏洞數(shù)據(jù)庫(kù)的更新,Clair 會(huì)定期從一組配置的源中獲取漏洞元數(shù)據(jù)庫(kù)(Vulnnerability Database),并將數(shù)據(jù)存儲(chǔ)在其數(shù)據(jù)庫(kù)中,只要不獲取最新的漏洞元數(shù)據(jù),每次執(zhí)行都用之前的漏洞數(shù)據(jù)庫(kù),漏洞數(shù)據(jù)庫(kù)的時(shí)效性有點(diǎn)差。Trivy 和 Anchore Engine 則是每次運(yùn)行都將下載最新的漏洞數(shù)據(jù)庫(kù)并將其緩存在本地文件中,當(dāng)掃描工具再次運(yùn)行時(shí),它將檢查并更新數(shù)據(jù)庫(kù)以保持?jǐn)?shù)據(jù)庫(kù)為最新?tīng)顟B(tài)。
同時(shí),對(duì)于 Trivy、Clair 和 Anchore Engine,這三者的社區(qū)非常活躍,所以我們不能用沒(méi)有人來(lái)幫你解決你的問(wèn)題來(lái)評(píng)判;而且作為一種工具,它必須易于使用并且有良好的文檔可供參考。經(jīng)過(guò)調(diào)研,發(fā)現(xiàn) Trivy 的文檔非常詳細(xì),非常友好, 而且 Trivy 的使用方式更加友好,比如我們可以過(guò)濾掉(.trivyignore)你指定的漏洞,對(duì)于最新發(fā)現(xiàn)的漏洞,官方?jīng)]有給出修復(fù)版本,這時(shí)候我們就可以忽略這個(gè)漏洞繼續(xù)構(gòu)建,但 Anchore Engine 做不到。
2020年3月16日,領(lǐng)先的云原生應(yīng)用和基礎(chǔ)設(shè)施安全平臺(tái)供應(yīng)商 Aqua Security 宣布,其開(kāi)源的 Trivy 漏洞掃描器將作為一個(gè)集成選項(xiàng)添加到其使用的云原生平臺(tái)、CNCF 的 Harbor 注冊(cè)表和 Mirantis Docker Enterprise 中。你可以在這里找到這篇文章:https://blog.aquasec.com/trivy-vulnerability-scanner-joins-aqua-family。
Trivy集成到流水線中的使用方法
Trivy 支持多種掃描方式,如掃描容器鏡像、Git 倉(cāng)庫(kù)和文件系統(tǒng)等;下面,我們使用 GitHub Actions 以 Docker 運(yùn)行 Trivy 掃描構(gòu)建好的鏡像產(chǎn)出物來(lái)展示 Trivy 的強(qiáng)大之處,下面是 GitHub Actions 的部分代碼:
- - name: Trivy scanner
- run: |
- docker run --rm -v
- /var/run/docker.sock:/var/run/docker.sock \
- aquasec/trivy image --severity HIGH,CRITICAL
- --exit-code 1 dashboard:${{ github.sha }}
在這需要對(duì)以下幾個(gè)參數(shù)做特別說(shuō)明:
(1) -v/var/run/docker.sock:/var/run/docker.sock
如果想掃描本地主機(jī)上的鏡像,需要掛載 docker.sock
(2) --severity 設(shè)置要掃描的漏洞級(jí)別
(3) --exit-code 發(fā)現(xiàn)漏洞時(shí) Trivy 的退出狀態(tài)(默認(rèn)值:0);在 Pipeline 中,如果將該值設(shè)置為1,且有漏洞被發(fā)現(xiàn),則 Pipeline 將退出,而不會(huì)繼續(xù)運(yùn)行。如果將其設(shè)置為0,則 Pipeline 將繼續(xù)運(yùn)行,但會(huì)報(bào)告結(jié)果。所以,如果你想在發(fā)現(xiàn)漏洞后阻止 Pipeline 繼續(xù)執(zhí)行,可以設(shè)置它為1。
想了解更多關(guān)于參數(shù)和使用方法的信息,請(qǐng)?jiān)L問(wèn) Trivy 的官方網(wǎng)站:https://github.com/aquasecurity/trivy。
總結(jié)
無(wú)論你在哪里,安全都是一個(gè)非常重要的問(wèn)題。我們可以將 “安全左移(Shift Left Security)”,這樣就可以減少生產(chǎn)環(huán)境中的安全風(fēng)險(xiǎn);對(duì)于掃描工具 Trivy 來(lái)說(shuō),它對(duì)于保證鏡像的安全性非常有用,它不僅可以掃描鏡像,還可以掃描 Git 倉(cāng)庫(kù),文件系統(tǒng)等。
最后,非常感謝同事張思楚、王亦晨和邢硯敏等人的大力支持和指導(dǎo),在他們熱心幫助和辛苦付出之下才有了這篇文章。
【本文是51CTO專(zhuān)欄作者“ThoughtWorks”的原創(chuàng)稿件,微信公眾號(hào):思特沃克,轉(zhuǎn)載請(qǐng)聯(lián)系原作者】
