首页
学习
活动
专区
圈层
工具
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
  • 来自专栏运维研习社

    开源镜像仓库Harbor的镜像安全

    之前介绍过Harbor,从安装部署到简单使用,今天这里就不再重复介绍了,有需要的可以跳转到'Harbor 功能强大的企业级私有仓库'查看,今天主要介绍Harbor的安全功能——镜像漏洞扫描 Harbor 自动进行扫描,通过定义部署安全级别,阻止某些安全级别的镜像,上传到Harbor,这部分配置在项目配置中 ? 新建项目,在项目中的配置管理里面进行漏洞扫描的配置,分别配置是否阻止潜在漏洞镜像,按照危害级别进行阻止,勾选自动扫描镜像,即在镜像上传的时候进行扫描,我们勾选,上传镜像测试 ? ,有时候有一些CVE我们想要忽略,就是这个CVE代号的漏洞,不在我们考虑的安全范围内,我们可以通过设置CVE白名单来进行忽略 CVE白名单分两种,一种是项目白名单,一种是系统白名单,在项目中的配置管理中进行配置 项目白名单,就直接在项目中进行配置,添加cve对应的cveid,并设置过期时间即可 系统白名单,需要在系统管理——配置管理——系统设置——部署安全性中进行添加 ?

    3.1K20发布于 2020-06-12
  • 来自专栏全栈程序员必看

    树莓派win11镜像_树莓派安装镜像

    2017-09-04 10:40:47 下载Hassbian镜像文件,浏览https://github.com/home-assistant/pi-gen/releases/tag/v1.23,查看最新版本的 下载,写文章是最新版本为1.23 使用软件Etcher将镜像文件写入MicroSD卡(我使用的是树莓派3B) 将已经写入Hassbian1.23镜像的卡插入树莓派,将树莓派链接有线网络(通过DCHP

    1.2K20编辑于 2022-09-20
  • 容器安全-镜像扫描

    前言容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。 容器安全面临的风险有:镜像风险、镜像仓库风险、编排工具风险,小德今天就跟大家聊一聊镜像风险中的镜像扫描。 镜像扫描是什么? 镜像扫描就是遍历所有镜像中的文件系统,逐个检查软件包(Package)是否包含安全漏洞。例如,假设定义了“高”的阀值,如果发现某镜像内含有危险程度为“高”的安全漏洞,将拒绝所有对该镜像的拉取请求。 伴随着容器的流行,它也成为黑客攻击的对象,容器安全受到重视。在容器安全方面,镜像安全是保护容器安全基础镜像扫描是解决镜像安全问题的基础手段。针对镜像风险问题,有效提升镜像扫描能力是关键。 如果我们能够尽早地发现任何安全问题或者漏洞,我们就可以在产品发布之前降低产品的安全风险。Pipeline 是确保每一行代码和基础运行环境的安全性是的最好方法之一,因为它可以在提交代码时自动执行。

    1.3K10编辑于 2024-04-27
  • 来自专栏Bypass

    镜像安全扫描工具

    镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。 本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。 1、Trivy Trivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。 github项目地址: https://github.com/chaitin/veinmind-tools.git (1)安装 veinmind-runner,使用平行容器启动脚本扫描本地镜像。 /run.sh scan image nginx:latest (2)下载单一工具veinmind-backdoor,扫描本地镜像中的后门。

    1.2K30编辑于 2023-11-07
  • 来自专栏全栈程序员必看

    docker新建镜像_docker基础镜像和项目镜像

    -qqy install ruby ruby-dev RUN gem install sinatra Dockerfile 基本的语法是 使用 # 来注释 FROM 指令告诉 Docker 使用哪个镜像作为基础 5db5f8471261 11 hours ago 446.7 MB 四、从本地文件系统导入 要从本地文件系统导入一个镜像,可以使用 openvz(容器虚拟化的先锋技术)的模板来创建:openvz 本文以Ubuntu为基础镜像,预启动一个django项目和ssh服务,制作一个新的镜像。 1、基础镜像 我选用的是从Docker官网下载的ubuntu镜像。 到此,我们需要把这个带有ssh服务的容器提交成一个镜像,方便以后在这个基础上各种改造: docker commit <container id> <image name> 4、基于现有ssh服务的Ubuntu 最基础的Ubuntu容器已经没有作用了 利用 doker stop <container id> doker rm <Container id> 清楚刚刚启动的最基础的Ubuntu容器 下面,要基于我们新的

    5.7K10编辑于 2022-09-20
  • 来自专栏从零开始学自动化测试

    docker学习11-上传本地镜像镜像仓库

    前言 在本地自己制作用过镜像后,上传到镜像仓库,这样方便在不同的机器上快速搭建同一套环境。 如果公开的话,别人也可以用你的镜像快速搭建环境,类似于 GitHub 本地代码上传到代码仓库,再从仓库拉取代码到本地。 新建镜像仓库 ? 本地镜像 本地镜像制作参考前面这篇https://www.cnblogs.com/yoyoketang/p/11397597.html docker build -t yoyo_pytest:v1 . tag标签,相当于重新复制镜像并重命名为docker账户名/仓库名称 docker tag 本地镜像:tag docker账号/docker仓库:tag [root@VM_0_2_centos docker-run pull 拉取镜像 拉取镜像使用docker pull 你自己的镜像名称 docker pull yoyo**/yoyo-pytest

    5.4K21发布于 2019-12-05
  • 来自专栏Linux云运维

    Docker镜像管理基础

    Docker镜像管理基础 1、镜像的概念 镜像可以理解为应用程序的集装箱,而docker用来装卸集装箱。 docker镜像含有启动容器所需要的文件系统及其内容,因此,其用于创建并启动容器。 位于下层的镜像称为父镜像(parrent image),最底层的称为基础镜像(base image); 最上层为“可读写”层,其下的均为“只读”层。 registry Private Registry:通过设有防火墙和额外的安全层的私有实体提供的registry docker registry的组成: Repository 由某特定的docker镜像的所有迭代版本组成的镜像仓库 那么这个最小化的centos镜像从何而来呢? 其实这个基础镜像一般是由Docker Hub的相关维护人员,也就是Docker官方手动制作的。 此时我们可以在已有镜像基础上把镜像打包成一个压缩文件,然后拷贝到另一台主机上将其导入,这就是镜像的导入和导出功能。

    1.2K20编辑于 2022-08-23
  • 来自专栏基础

    如何制作基础镜像

    1.需求说明基于 node:20 制作一个基础镜像,并上传到私有镜像仓库2.Dockerfile要创建一个基于 node:20 的 Docker 基础镜像并将其推送到私有仓库(通常称为私仓),你可以按照以下步骤操作 Docker 镜像:使用 docker build 命令构建你的镜像。 ,your-tag 是镜像标签,. 5.推送到私仓推送镜像到私有仓库:使用 docker push 命令将镜像推送到你的私有仓库。 此外,确保在推送镜像之前,你拥有足够的权限在私有仓库中创建和更新镜像。如果你在推送过程中遇到问题,检查你的仓库配置和权限设置。

    2K00编辑于 2024-08-15
  • 来自专栏k8s技术圈

    Kubernetes 容器镜像基础

    本文将深入探讨 Kubernetes 中容器镜像的各个方面,从容器镜像的基本概念开始,一直到高级主题,如镜像拉取策略、安全性和最佳实践。 05 最佳实践 在 Kubernetes 中,容器镜像的使用涉及到一些最佳实践,以确保集群的稳定性、可维护性和安全性。 使用轻量的基础镜像,仅包含应用程序运行所需的最小依赖。 安全审查: 定期审查容器镜像,确保其基础镜像和应用程序组件的安全性。 使用私有仓库: 部署时使用私有容器镜像仓库,以确保镜像安全性和控制权。私有仓库可以实现身份验证、访问控制和镜像版本管理。 持续集成和持续部署(CI/CD): 集成容器镜像构建和发布到容器仓库的流程到 CI/CD 管道中,以实现自动化和快速部署。 合理选择基础镜像: 选择合适的基础镜像,考虑到你的应用程序的需求。

    2.2K10编辑于 2023-12-12
  • 来自专栏JFrog杰蛙DevOps

    你的镜像安全吗?

    如何防止容器以root权限运行 如果不确定基础镜像使用什么权限,应该强制使用自定义用户的非root用户或用户组。 相比之下,诸如Docker Hub之类的公共注册表一般仅提供基本服务-您必须信任镜像发布者,而镜像发布者可能未遵循相同的高安全标准。 选择最小的基础镜像 Docker hub上的某些镜像比其他的镜像更简化。比如在ubuntu仓库中,有些镜像的大小是部分版本的2倍以上。 3.png 优化Dockerfile和.dockerignore中的镜像 接下来,您需要创建一个Dockerfile来为容器构建简化镜像。这将由基础镜像层和自己的镜像层组成。 对于每个新的FROM语句,我们可以使用多个不同的基础镜像。然后我们可以有选择的将所需的文件复制到下一阶段,多余的各层将被留下。

    2.6K20发布于 2021-01-08
  • 来自专栏技术杂记

    UnrealIRCd 基础11

    访问 下面是使用 IceChat9 访问的界面 下面是使用 mIRC7.4.3 访问的界面 ---- 命令汇总 wget https://www.unrealircd.org/unrealircd4/unrealircd-4.0.2.tar.gz gpg --keyserver keys.gnupg.net --recv-keys 0xA7A21B0A108FF4A9 wget https://www.unrealircd.org/unrealircd4/unrealircd-4.0.2.ta

    46720编辑于 2021-11-29
  • 来自专栏运维

    制作java基础docker镜像

    在某些情况下,你也许会从一个已有的基础镜像开始,这时你已经选择了底层操作系统镜像。 ago 5.53MB busybox latest 64f5d945efcc 11 7.6.1810 f1cb7c7d58b7 2 months ago 202MB 制作基础系统镜像 alpine、centos、ubuntu 注意: 所有基础镜像及部署软件都要指定好具体版本,禁用last tag 下载alpine基础镜像 [root@VM_8_24_centos ~]# docker ]# ls jre-8u212-linux-x64.tar.gz 编辑Dockerfile [work@VM_8_24_centos jre-centos]# cat Dockerfile # 基础镜像

    2.8K20发布于 2019-05-24
  • 来自专栏技术杂记

    nginx基础11

    停止 nginx是通过给Nginx主进程发系统信号的方式来停止的 从容停止 [root@h102 logs]# ps faux | grep nginx root 11909 0.0 0

    41110编辑于 2022-05-12
  • 来自专栏技术杂记

    Logstash 基础11

    "_id" : "AVIRvXxq0svkz_zfzuOP", "_score" : 0.06365098, "_source":{"message":"Dec 23 12:11 postfix/smtpd[31499]: connect from unknown[95.75.93.154]\r","@version":"1","@timestamp":"2016-12-23T04:11 :43.000Z","host":"0:0:0:0:0:0:0:1","port":45093,"type":"syslog","syslog_timestamp":"Dec 23 12:11:43",

    31220编辑于 2022-02-10
  • 来自专栏技术杂记

    etcd 基础11

    条件删除 Compare-and-Delete(CAD) 就是判断删除 Note: CompareAndDelete 不能用于目录,如果测试用于目录,会获得 102 “Not a file” 的错误 Item Comment prevValue 比较当前的值 prevIndex 比较当前的modifiedIndex [root@docker ~]# curl http://127.0.0.1:2379/v2/keys/foo -XPUT -d value=one {"action":"set","node

    50020编辑于 2022-01-20
  • 来自专栏Lemon黄

    11 Docker 基础

    下面,我们就来学习一下 Docker 中的一些基础知识及其它在 DevOps 中的重要性。 这种可扩展性对于处理高流量负载、优化基础设施使用和实现成本效益至关重要。 快速部署:Docker 通过将应用程序及其依赖关系打包到一个容器中,简化了部署过程。 隔离和安全:Docker 为应用程序提供隔离环境,确保它们互不干扰。每个容器都独立运行,从而创建了一个沙箱环境,增强了安全性,降低了应用程序或依赖关系之间发生冲突的风险。 此外,Docker 的内置安全功能(如镜像扫描和访问控制)可帮助 DevOps 工程师维护安全的软件供应链。 Docker 基础命令 1 docker run docker run命令用于启动一个新容器并通过命令行与之交互。

    38200编辑于 2023-12-05
  • 来自专栏技术杂记

    Snort 基础11

    安装报错三 [root@h101 snort-2.9.7.6]# ./configure --enable-sourcefire checking for a BSD-compatible install... /usr/bin/install -c checking whether build environment is sane... yes checking for a thread-safe mkdir -p... /bin/mkdir -p checking for gawk... gawk

    50430编辑于 2022-05-03
  • 来自专栏技术杂记

    fio基础11

    rdma The RDMA I/O engine supports both RDMA memory semantics (RDMA_WRITE/RDMA_READ) and channel semantics (Send/Recv) for the InfiniBand, RoCE and iWARP protocols. falloc IO engine that does regular fallocate to simulate data transfer as fio ioengine. DDIR_READ does fallocate(,mode = keep_size,) DDIR_WRITE does fallocate(,mode = 0) DDIR_TRIM does fallocate(,mode = punch_hole) e4defrag IO engine that does regular EXT4_IOC_MOVE_EXT ioctls to simulate defragment activity in request to DDIR_WRITE event rbd IO engine supporting direct access to Ceph Rados Block Devices (RBD) via librbd without the need to use the kernel rbd driver. This ioengine defines engine specific options. gfapi Using Glusterfs libgfapi sync interface to direct access to Glusterfs volumes without options. gfapi_async Using Glusterfs libgfapi async interface to direct access to Glusterfs volumes without having to go through FUSE. This ioengine defines engine specific options. libhdfs Read and write through Hadoop (HDFS). The 'filename' option is used to specify host, port of the hdfs name-node to connect. This engine interprets offsets a little differently. In HDFS, files once created cannot be modified. So random writes are not possible. To imitate this, libhdfs engine expects bunch of small files to be created over HDFS, and engine will randomly pick a file out of those files based on the offset generated by fio backend. (see the example job file to create such files, use rw=write option). Please note, you might want to set necessary environment variables to work with hdfs/libhdfs properly. mtd Read, write and erase an MTD character device (e.g., /dev/mtd0). Discards are treated as erases. Depending on the underlying device type, the I/O may have to go in a certain pattern, e.g., on NAND, writing sequentially to erase blocks and discarding before overwriting. The w

    1K40编辑于 2022-04-24
  • 来自专栏技术杂记

    RabbitMQ基础11

    [root@h102 rabbitmq]# 日志 =INFO REPORT==== 23-Oct-2015::17:11:19 === Resetting Rabbit forcefully

    36020编辑于 2022-05-04
  • 来自专栏CNCF

    Flux项目谈安全镜像来源

    关于 Flux 项目谈安全的博客系列的下一篇文章将介绍我们如何以及为什么要为 Flux CLI 及其所有控制器镜像使用签名,以及你可以在工作流中做些什么来验证镜像来源。 自 Flux 0.26 以来,我们的安全文档添加了以下内容: The Flux CLI and the controllers' images are signed using Sigstore[1] 我们很高兴向你介绍这一点,并鼓励你在工作流程中使用它,以使你的集群更加安全。但是,让我们把上面这一节所说的全部内容都分解一下。 为什么要在一开始就签署发布工件? 这只是我们为确保你们的安全而采取的又一项措施。 multi-tenancy: https://github.com/fluxcd/flux2-multi-tenancy [10]开发会议: https://fluxcd.io/community/#meetings [11

    1.4K30编辑于 2022-03-28
领券