镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。
本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。
github项目地址:
https://github.com/chaitin/veinmind-tools.git(1)安装 veinmind-runner,使用平行容器启动脚本扫描本地镜像。
dockerpull registry.veinmind.tech/veinmind/veinmind-runner:latestwget -q https://download.veinmind.tech/scripts/veinmind-runner-parallel-container-run.sh -O run.sh && chmod +x run.sh./run.sh scan image nginx:latest
1、Trivy
Trivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。下载二进制文件就可以实现扫描,CI集成友好,还能以插件化的方式集成到Harbor。
github项目地址:
https://github.com/aquasecurity/trivy(1)安装
wget https://github.com/aquasecurity/trivy/releases/download/v0.47.0/trivy_0.47.0_Linux-64bit.rpmrpm -i rpm -i trivy_0.47.0_Linux-64bit.rpm
(2)扫描示例
trivy image nginx:latesttrivy image --severity HIGH,CRITICAL nginx:latest
github项目地址:
https://github.com/chaitin/veinmind-tools.git(1)安装 veinmind-runner,使用平行容器启动脚本扫描本地镜像。
docker pull registry.veinmind.tech/veinmind/veinmind-runner:latestwget -q https://download.veinmind.tech/scripts/veinmind-runner-parallel-container-run.sh -O run.sh && chmod +x run.sh./run.sh scan image nginx:latest
(2)下载单一工具veinmind-backdoor,扫描本地镜像中的后门。
原文始发于微信公众号(Bypass):镜像安全扫描工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论