非开发组织的容器漏洞管理

Question

当您不是开发人员时，是否有一个良好的容器漏洞管理最佳实践？

目前，我正试图弄清楚如何为一家公司建立一个适当的供应链风险管理系统，因为该公司只使用码头映像作为标准部署模型，但没有任何内部开发功能。

为了正确地管理它，作为一个dev org，您需要为您的基本映像提取Dockerfile并自己构建映像，包括漏洞扫描、SCA和SAST。此图像存储在您自己的注册表中，您可以使用该图像作为基本图像。

有没有其他方法不包括运行您自己的注册表，重新构建您自己的所有映像并部署这些映像？

Answer 1

基于你的能力，我会构建一个分层的方法。即使是开发组织也没有采取所有可能的行动所需的所有资源。

从供应商管理开始。当你使用任何外部生产的产品时，你需要了解是谁制造的。供应商是否有降低风险的政策和程序？他们对谁能为开源项目做出贡献有控制权吗？它们是否扫描和修复漏洞？供应商是与用户接触，还是有一个相互支持的用户社区？喜欢拥有这些类型的控件的产品。

考虑保留工件的本地副本，以减少意外更改或错误。这超出了漏洞的范围，但更广泛的供应链问题--版本可以意外地从外部存储库中删除，或者引用版本--可能导致未传递/无文档化的更改。这适用于从开放源码项目到容器到包的一切。在基础设施上承载自己的工件存储库确实需要IT支持，但也有SaaS解决方案。

扫描你自己使用的工件。与供应商接触，了解发现或报告发现的问题。如果发现是真正的积极结果，则应用缓解措施。仅仅因为一个漏洞的存在并不意味着它不能在其他方面得到缓解。减少漏洞的足迹可能足以降低使用易受攻击组件的风险。