使用SecretScanner发现容器镜像和文件系统中的敏感数据

这里指的敏感数据是什么？

这里所说的敏感数据，指的是任何类型的机密或私有数据，是只有授权用户可以访问的关键IT基础设施（如帐户、设备、网络、基于云的服务）、应用程序、存储数据、数据库和组织中其他类型的关键数据。比如说，密码、AWS访问ID、AWS秘密访问密钥、Google OAuth密钥等都属于敏感数据，这些敏感数据都应该严格地安全存储并保密。然而，有时由于有缺陷的安全策略或开发人员的疏忽错误，攻击者将能够轻松访问这些敏感数据。有时候，开发人员会使用默认的或在容器映像中保留硬编码的敏感数据，比如说密码、API密钥、加密密钥、SSH密钥、令牌等，这种情况在CI/CD管道中的快速开发和部署周期中普遍存在。除此之外，有时用户以纯文本形式存储密码，而向未经授权的实体泄漏敏感数据会使你的组织和基础设施面临严重的安全风险。

关于SecretScanner

SecretScanner可以帮助广大研究人员和开发人员扫描主机上的容器镜像或本地目录，并输出一个JSON文件，其中会包含SecretScanner找到的所有敏感数据的详细信息。

Docker快速使用

使用下列命令安装Docker并在容器镜像中运行和使用SecretScanner。

1、构建SecretScanner：

docker build --rm=true --tag=deepfenceio/secretscanning:latest -f Dockerfile

2、或者，使用下列命令从Docker拉取最新构建版本：

docker pull deepfenceio/secretscanning

3、拉取一个容器镜像并进行扫描：

docker pull node:8.11

4、运行SecretScanner，扫描一个容器镜像：

docker run -it --rm --name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock -v /usr/bin/docker:/usr/bin/docker deepfenceio/secretscanning -image-name node:8.11

5、运行SecretScanner，扫描一个本地目录：

docker run -it --rm --name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock -v /usr/bin/docker:/usr/bin/docker deepfenceio/secretscanning -local /home/deepfence/src/SecretScanner/test

SecretScanner输出样例

项目地址

SecretScanner：https://github.com/deepfence/SecretScanner

本文始发于微信公众号（盾山实验室）：使用SecretScanner发现容器镜像和文件系统中的敏感数据