社区编辑申请
注册/登录
"docker scan"本地扫描镜像漏洞
安全 云安全
2020年年底,Docker hub推出镜像自动扫描的功能,目前Docker Desktop for Mac以及window上的Docker都可以通过Docker scan子命令扫描本地镜像是否存在漏洞软件。

Docker scan[1]本地扫描镜像漏洞

2020年年底,Docker hub推出镜像自动扫描的功能,同时Docker也支持了在本地通过Docker命令选项的方式支持镜像漏洞扫描,目前Docker Desktop for Mac以及window上的Docker都可以通过Docker scan子命令扫描本地镜像是否存在漏洞软件。

Docker Desktop For Mac

使用docker scan的时候需要登录Docker Hub的账号,同时docker scan支持一些不同的选项

  1. Options: 
  2.       --accept-license    接受使用第三方扫描提供商 
  3.       --dependency-tree   显示带有扫描结果的依赖树 
  4.       --exclude-base      从漏洞扫描中排除基础镜像 (requires --file) 
  5.   -f, --file string       与image关联的Dockerfile,提供更详细的结果 
  6.       --group-issues      聚合重复的漏洞并将其分组为1个漏洞 (requires --json) 
  7.       --json              以json格式输出结果 
  8.       --login             使用可选令牌(带有--token)向扫描提供程序进行身份验证,如果为空则使用web base令牌 
  9.       --reject-license    拒绝使用第三方扫描提供商 
  10.       --severity string   只报告提供级别或更高的漏洞(low|medium|high) 
  11.       --token string      登录到第三方扫描提供程序的认证令牌 
  12.       --version           显示扫描插件版本 

指定Dockerfile

  1. $ docker scan -f Dockerfile docker-scan:e2e 
  2. Testing docker-scan:e2e 
  3. ... 
  4. ✗ High severity vulnerability found in perl 
  5.   Description: Integer Overflow or Wraparound 
  6.   Info: https://snyk.io/vuln/SNYK-DEBIAN10-PERL-570802 
  7.   Introduced through: git@1:2.20.1-2+deb10u3, meta-common-packages@meta 
  8.   From: git@1:2.20.1-2+deb10u3 > perl@5.28.1-6 
  9.   From: git@1:2.20.1-2+deb10u3 > liberror-perl@0.17027-2 > perl@5.28.1-6 
  10.   From: git@1:2.20.1-2+deb10u3 > perl@5.28.1-6 > perl/perl-modules-5.28@5.28.1-6 
  11.   and 3 more... 
  12.   Introduced by your base image (golang:1.14.6) 
  13.  
  14.  
  15.  
  16. Organization:      docker-desktop-test 
  17. Package manager:   deb 
  18. Target file:       Dockerfile 
  19. Project name:      docker-image|99138c65ebc7 
  20. Docker image:      99138c65ebc7 
  21. Base image:        golang:1.14.6 
  22. Licenses:          enabled 
  23.  
  24. Tested 200 dependencies for known issues, found 157 issues. 
  25.  
  26. According to our scan, you are currently using the most secure version of the selected base image 

不扫描该镜像的基础镜像

  1. $ docker scan -f Dockerfile --exclude-base docker-scan:e2e 
  2. Testing docker-scan:e2e 
  3. ... 
  4. ✗ Medium severity vulnerability found in libidn2/libidn2-0 
  5.   Description: Improper Input Validation 
  6.   Info: https://snyk.io/vuln/SNYK-DEBIAN10-LIBIDN2-474100 
  7.   Introduced through: iputils/iputils-ping@3:20180629-2+deb10u1, wget@1.20.1-1.1, curl@7.64.0-4+deb10u1, git@1:2.20.1-2+deb10u3 
  8.   From: iputils/iputils-ping@3:20180629-2+deb10u1 > libidn2/libidn2-0@2.0.5-1+deb10u1 
  9.   From: wget@1.20.1-1.1 > libidn2/libidn2-0@2.0.5-1+deb10u1 
  10.   From: curl@7.64.0-4+deb10u1 > curl/libcurl4@7.64.0-4+deb10u1 > libidn2/libidn2-0@2.0.5-1+deb10u1 
  11.   and 3 more... 
  12.   Introduced in your Dockerfile by 'RUN apk add -U --no-cache wget tar' 
  13.  
  14.  
  15.  
  16. Organization:      docker-desktop-test 
  17. Package manager:   deb 
  18. Target file:       Dockerfile 
  19. Project name:      docker-image|99138c65ebc7 
  20. Docker image:      99138c65ebc7 
  21. Base image:        golang:1.14.6 
  22. Licenses:          enabled 
  23.  
  24. Tested 200 dependencies for known issues, found 16 issues. 

以json格式输出扫描结果

 

JSON格式显示镜像扫描结果

聚合分组显示扫描信息

  1. $ docker scan --json --group-issues docker-scan:e2e 
  2.     { 
  3.       "title""Improper Check for Dropped Privileges"
  4.       ... 
  5.       "packageName""bash"
  6.       "language""linux"
  7.       "packageManager""debian:10"
  8.       "description""## Overview\nAn issue was discovered in disable_priv_mode in shell.c in GNU Bash through 5.0 patch 11. By default, if Bash is run with its effective UID not equal to its real UID, it will drop privileges by setting its effective UID to its real UID. However, it does so incorrectly. On Linux and other systems that support \"saved UID\" functionality, the saved UID is not dropped. An attacker with command execution in the shell can use \"enable -f\" for runtime loading of a new builtin, which can be a shared object that calls setuid() and therefore regains privileges. However, binaries running with an effective UID of 0 are unaffected.\n\n## References\n- [CONFIRM](https://security.netapp.com/advisory/ntap-20200430-0003/)\n- [Debian Security Tracker](https://security-tracker.debian.org/tracker/CVE-2019-18276)\n- [GitHub Commit](https://github.com/bminor/bash/commit/951bdaad7a18cc0dc1036bba86b18b90874d39ff)\n- [MISC](http://packetstormsecurity.com/files/155498/Bash-5.0-Patch-11-Privilege-Escalation.html)\n- [MISC](https://www.youtube.com/watch?v=-wGtxJ8opa8)\n- [Ubuntu CVE Tracker](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2019-18276)\n"
  9.       "identifiers": { 
  10.         "ALTERNATIVE": [], 
  11.         "CVE": [ 
  12.           "CVE-2019-18276" 
  13.         ], 
  14.         "CWE": [ 
  15.           "CWE-273" 
  16.         ] 
  17.       }, 
  18.       "severity""low"
  19.       "severityWithCritical""low"
  20.       "cvssScore": 7.8, 
  21.       "CVSSv3""CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F"
  22.       ... 
  23.       "from": [ 
  24.         "docker-image|docker-scan@e2e"
  25.         "bash@5.0-4" 
  26.       ], 
  27.       "upgradePath": [], 
  28.       "isUpgradable"false
  29.       "isPatchable"false
  30.       "name""bash"
  31.       "version""5.0-4" 
  32.     }, 
  33.     ... 
  34.     "summary""880 vulnerable dependency paths"
  35.       "filesystemPolicy"false
  36.       "filtered": { 
  37.         "ignore": [], 
  38.         "patch": [] 
  39.       }, 
  40.       "uniqueCount": 158, 
  41.       "projectName""docker-image|docker-scan"
  42.       "platform""linux/amd64"
  43.       "path""docker-scan:e2e" 

显示指定级别的漏洞,只有高于此级别的漏洞才会显示出来

  1. $ docker scan --severity=medium docker-scan:e2e 
  2. ./bin/docker-scan_darwin_amd64 scan --severity=medium docker-scan:e2e 
  3.  
  4. Testing docker-scan:e2e... 
  5.  
  6. ✗ Medium severity vulnerability found in sqlite3/libsqlite3-0 
  7.  Description: Divide By Zero 
  8.  Info: https://snyk.io/vuln/SNYK-DEBIAN10-SQLITE3-466337 
  9.  Introduced through: gnupg2/gnupg@2.2.12-1+deb10u1, subversion@1.10.4-1+deb10u1, mercurial@4.8.2-1+deb10u1 
  10.  From: gnupg2/gnupg@2.2.12-1+deb10u1 > gnupg2/gpg@2.2.12-1+deb10u1 > sqlite3/libsqlite3-0@3.27.2-3 
  11.  From: subversion@1.10.4-1+deb10u1 > subversion/libsvn1@1.10.4-1+deb10u1 > sqlite3/libsqlite3-0@3.27.2-3 
  12.  From: mercurial@4.8.2-1+deb10u1 > python-defaults/python@2.7.16-1 > python2.7@2.7.16-2+deb10u1 > python2.7/libpython2.7-stdlib@2.7.16-2+deb10u1 > sqlite3/libsqlite3-0@3.27.2-3 
  13.  
  14. ✗ Medium severity vulnerability found in sqlite3/libsqlite3-0 
  15.  Description: Uncontrolled Recursion 
  16. ... 
  17. ✗ High severity vulnerability found in binutils/binutils-common 
  18.  Description: Missing Release of Resource after Effective Lifetime 
  19.  Info: https://snyk.io/vuln/SNYK-DEBIAN10-BINUTILS-403318 
  20.  Introduced through: gcc-defaults/g++@4:8.3.0-1 
  21.  From: gcc-defaults/g++@4:8.3.0-1 > gcc-defaults/gcc@4:8.3.0-1 > gcc-8@8.3.0-6 > binutils@2.31.1-16 > binutils/binutils-common@2.31.1-16 
  22.  From: gcc-defaults/g++@4:8.3.0-1 > gcc-defaults/gcc@4:8.3.0-1 > gcc-8@8.3.0-6 > binutils@2.31.1-16 > binutils/libbinutils@2.31.1-16 > binutils/binutils-common@2.31.1-16 
  23.  From: gcc-defaults/g++@4:8.3.0-1 > gcc-defaults/gcc@4:8.3.0-1 > gcc-8@8.3.0-6 > binutils@2.31.1-16 > binutils/binutils-x86-64-linux-gnu@2.31.1-16 > binutils/binutils-common@2.31.1-16 
  24.  and 4 more... 
  25.  
  26. Organization:      docker-desktop-test 
  27. Package manager:   deb 
  28. Project name:      docker-image|docker-scan 
  29. Docker image:      docker-scan:e2e 
  30. Platform:          linux/amd64 
  31. Licenses:          enabled 
  32.  
  33. Tested 200 dependencies for known issues, found 37 issues. 

Linux上安装scan-cli插件

目前Linux系统上的Docker Engine尚未支持scan命令,因此可以通过插件形式使用,可以参考scan-cli-plugin[2]的文档,此处我在Ubuntu上通过apt安装一下

  1. > cat /etc/apt/sources.list.d/docker.list  
  2. deb [arch=amd64] https://mirrors.aliyun.com/docker-ce/linux/ubuntu xenial stable 
  3. > apt-get update && apt-get install docker-scan-plugin 

安装完成之后,登录Docker hub,然后同意访问Snyk即可。

参考资料

[1]docker scan:

https://docs.docker.com/engine/scan/

[2]scan-cli-plugin:

https://github.com/docker/scan-cli-plugin

本文转载自微信公众号「云原生生态圈」,可以通过以下二维码关注。转载本文请联系云原生生态圈公众号。

 

责任编辑:姜华 来源: 云原生生态圈

同话题下的热门内容

云计算服务主要安全风险及应对措施初探增强SaaS安全的七个步骤云计算安全审计概览

编辑推荐

云端创新如何改变灾难恢复关于云安全的三个鲜为人知的秘密8个非常好的云安全解决方案Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!2018年的十大云宕机事件,你中枪没?
我收藏的内容
点赞
收藏

51CTO技术栈公众号