- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维研习社
开源镜像仓库Harbor的镜像安全
之前介绍过Harbor,从安装部署到简单使用,今天这里就不再重复介绍了,有需要的可以跳转到'Harbor 功能强大的企业级私有仓库'查看,今天主要介绍Harbor的安全功能——镜像漏洞扫描 Harbor 自动进行扫描,通过定义部署安全级别,阻止某些安全级别的镜像,上传到Harbor,这部分配置在项目配置中 ? 新建项目,在项目中的配置管理里面进行漏洞扫描的配置,分别配置是否阻止潜在漏洞镜像,按照危害级别进行阻止,勾选自动扫描镜像,即在镜像上传的时候进行扫描,我们勾选,上传镜像测试 ? ,有时候有一些CVE我们想要忽略,就是这个CVE代号的漏洞,不在我们考虑的安全范围内,我们可以通过设置CVE白名单来进行忽略 CVE白名单分两种,一种是项目白名单,一种是系统白名单,在项目中的配置管理中进行配置 项目白名单,就直接在项目中进行配置,添加cve对应的cveid,并设置过期时间即可 系统白名单,需要在系统管理——配置管理——系统设置——部署安全性中进行添加 ?
3K20发布于 2020-06-12 - 来自专栏Bypass
镜像安全扫描工具
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。 本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。 1、Trivy Trivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。 扫描示例 trivy image nginx:latest trivy image --severity HIGH,CRITICAL nginx:latest 2、veinmind-tools 这是一个容器安全工具集 /run.sh scan image nginx:latest (2)下载单一工具veinmind-backdoor,扫描本地镜像中的后门。
1.1K30编辑于 2023-11-07 容器安全-镜像扫描
前言容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。 容器安全面临的风险有:镜像风险、镜像仓库风险、编排工具风险,小德今天就跟大家聊一聊镜像风险中的镜像扫描。 镜像扫描是什么? 镜像扫描就是遍历所有镜像中的文件系统,逐个检查软件包(Package)是否包含安全漏洞。例如,假设定义了“高”的阀值,如果发现某镜像内含有危险程度为“高”的安全漏洞,将拒绝所有对该镜像的拉取请求。 伴随着容器的流行,它也成为黑客攻击的对象,容器安全受到重视。在容器安全方面,镜像安全是保护容器安全的基础,镜像扫描是解决镜像安全问题的基础手段。针对镜像风险问题,有效提升镜像扫描能力是关键。 方案2:将扫描工具集成到 Pipeline 中另一种方法是在 Pipeline 上对镜像产物进行扫描,这样更加简单高效。当我们将代码推送到代码存储库时, Pipeline 将自动执行扫描镜像的命令。
1K10编辑于 2024-04-27- 来自专栏JFrog杰蛙DevOps
你的镜像安全吗?
$ docker run --user 1009 centos:7 2. 使用自己的私有注册中心 私有注册中心是由我们自己的组织搭建的完全独立的容器映像仓库。 私有注册中心可以让您获得更完善的镜像的管理方式,并且通常提供更高级的功能,可以帮助确保库存安全。 例如: l 复杂的镜像扫描工具,用于识别威胁和未修补的漏洞。 相比之下,诸如Docker Hub之类的公共注册表一般仅提供基本服务-您必须信任镜像发布者,而镜像发布者可能未遵循相同的高安全标准。 选择最小的基础镜像 Docker hub上的某些镜像比其他的镜像更简化。比如在ubuntu仓库中,有些镜像的大小是部分版本的2倍以上。 2.png 拉取镜像后可以使用docker images命令检查其实际大小。 $ docker images 然后,如下所示查找刚刚下载的镜像的条目。
2.4K20发布于 2021-01-08 - 来自专栏亨利笔记
Docker镜像详谈(2): 深入理解镜像大小
再进一步思考 Docker 镜像,大家可能很快就会联想到以下几类镜像: 系统级镜像:如 Ubuntu 镜像、CentOS 镜像以及 Debian 容器等; 工具栈镜像:如 Golang 镜像、Flask 镜像、Tomcat 镜像等; 服务级镜像:如 MySQL 镜像、MongoDB 镜像、RabbitMQ 镜像等; 应用级镜像:如 WordPress 镜像、Docker Registry 镜像等。 :14.04 ADD compressed.tar / 假设最终 docker build 构建出来的镜像名分别为 image 1 和 image 2,由于两个 Dockerfile 均基于 ubuntu :14.04,因此,image 1 和 image 2 这两个镜像均复用了镜像 ubuntu:14.04。 14.04 的大小)+ 20 MB = 220 MB image 2:200 MB(ubuntu:14.04 的大小)+ 100 MB = 300 MB 如果仅仅是单纯的累加三个镜像的大小,那结果应该是
2.7K21发布于 2019-04-12 - 来自专栏姚红专栏
raw镜像与qcw2镜像互相转换
qcow2是最小使用,raw是置零使用 。 raw格式是原始镜像,会直接当作一个块设备给虚拟机来使用,至于文件里面的空洞,则是由宿主机的文件系统来管理的,linux下的文件系统可以很好的支持空洞的特性, 所以,如果你创建了一个100G的raw格式的文件 qcw2镜像转化为raw镜像文件 #yum install qemu-img #qemu-img convert -f qcow2 win7.qcow2 -O raw win7.raw raw镜像转化为 qcw2镜像文件 #qemu-img convert -f qcow2 win7.raw -O raw win7.qcow2
1.8K20发布于 2019-09-11 - 来自专栏CNCF
Flux项目谈安全:镜像来源
关于 Flux 项目谈安全的博客系列的下一篇文章将介绍我们如何以及为什么要为 Flux CLI 及其所有控制器镜像使用签名,以及你可以在工作流中做些什么来验证镜像来源。 自 Flux 0.26 以来,我们的安全文档添加了以下内容: The Flux CLI and the controllers' images are signed using Sigstore[1] 我们很高兴向你介绍这一点,并鼓励你在工作流程中使用它,以使你的集群更加安全。但是,让我们把上面这一节所说的全部内容都分解一下。 为什么要在一开始就签署发布工件? MTEwMDcxMzU2NTlaFw0zMTEwMDUxMzU2NThaMCoxFTATBgNVBAoTDHNpZ3N0b3Jl LmRldjERMA8GA1UEAxMIc2lnc3RvcmUwdjAQBgcqhkjOPQIBBgUrgQQAIgNiAAT7 这只是我们为确保你们的安全而采取的又一项措施。
1.3K30编辑于 2022-03-28 - 来自专栏开源部署
Docker 的镜像并不安全!
后来,研究加密摘要系统的时候——Docker用这套系统来对镜像进行安全加固——我才有机会更深入的发现,逻辑上整个与镜像安全相关的部分具有一系列系统性问题。 解压缩 Docker支持三种压缩算法:gzip、bzip2和xz。 xz二进制程序来自于XZ Utils项目,由大概2万行C代码生成而来。而C语言不是一门内存安全的语言。 要改进Docker镜像下载系统的安全问题,我认为应当有以下措施: 摒弃tarsum并且真正对镜像本身进行验证 出于安全原因tarsum应当被摒弃,同时,镜像在完整下载后、其他步骤开始前,就对镜像的加密签名进行验证 这个问题不仅仅是生态问题,还是一个终端用户的安全问题。针对第三方仓库的全方位、去中心化的安全模型既必须又迫切。我希望Docker公司在重新设计他们的安全模型和镜像认证系统时能采纳这一点。
1.3K20编辑于 2022-07-04 - 来自专栏数据科学(冷冻工厂)
Docker|了解容器镜像层(2)
创建快照的过程与构建镜像相反。它首先通过下载清单并构建一个要下载的层列表开始。对于每个层,会创建一个包含层父目录内容的目录。这个目录被称为活动快照。 创建了一个 layer2 的目录。这个空目录现在是一个活动快照。文件 layer2.tar.gz 被下载、验证(通过比较摘要和文件名),并解压到目录中。 创建了一个 layer3 的目录,并将 layer2 的内容复制进去。这是一个新的活动快照。文件 layer3.tar.gz 被下载、验证并解压。 如果这些目录中的任何一个已经存在,这表明另一个镜像有相同的依赖关系。因此,引擎可以跳过下载和差异应用器。它可以直接使用该层。在实践中,这些目录和文件的命名都是基于内容的摘要,以便于识别。 | |-- hello.txt | |-- new.txt | `-- upper-message.txt 运行 ls -l upper 显示 total 12 c--------- 2
23610编辑于 2024-06-18 - 来自专栏写代码和思考
Docker 学习笔记2 - 创建一个镜像和发布镜像
基于 Docker 的开发流程 一般来说基于 Docker 的开发流程是这样的: (1)创建Docker镜像,它承载了你的程序运行的必要环境,是创建和测试独立的基础。 (2)测试,验证你的镜像。 (2)发布/分享你的镜像。比如在 Docker Hub 上发布你的Docker镜像 本文关注第一步,创建一个基础的镜像,这个镜像是你的容器的基础。一个镜像包含了用于承载容器运行的私有的文件系统。 clone https://github.com/dockersamples/node-bulletin-board cd node-bulletin-board/bulletin-board-app 2. 创建Docker镜像 步骤拆解: (1) 编写 Dockerfile 文件 (2) 执行 下面分别说明。 分这么几步: (1)注册账户 (2) 创建 一个 仓库 repository (3) 推送(push)你的镜像 4.1 注册账户 在 https://hub.docker.com/signup.
1.4K20发布于 2020-04-09 - 来自专栏后端精进之路
Docker系列-(2) 镜像制作与发布
由于本地没有镜像可以先利用docker search获取官方镜像的名称,然后docker pull将镜像下载到本地。 2)以交互方式启动镜像,方便在容器中安装软件。 0.076 ms 56 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.087 ms 56 bytes from 127.0.0.1: icmp_seq=2 0.096 ms 56 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.088 ms 56 bytes from 127.0.0.1: icmp_seq=2 本地私有仓库 (1) 首先下载registry镜像:docker pull registry. (2) 接着在5000端口启动,docker run -d --name reg -p 5000:5000 (1)打tag docker tag hello-world http://192.168.244.7:5000/hello-world (2)push镜像 docker push 192.168.244.7
1K30编辑于 2023-10-17 - 来自专栏存储稳定性&数据一致性
qcow2镜像检测及修复
PPT:《qcow2镜像检测及修复》Copyright (c) 2016-2023 YOUPLUSAuthor: YOUPLUSqcow2-dump is a useful tool for checking and repairing damaged qcow2 image, it has some improvements compare with qemu-img check command (qcow2 -dump has all functions which qemu-img check command has).图片基础:qcow2镜像格式及分配模式图片qcow2-dump -h/--help (工具的参数说明、功能介绍及现场演示)图片qcow2-dump工具的设计实现:图片检测性能:图片
79300编辑于 2023-12-06 - 来自专栏仁扬笔记
Composer 镜像原理 (2) —— composer.json
"php": "^7.0", "psr/log": "^1.0.1" }, "require-dev": { "phpunit/phpunit": "^5.7", "graylog2/ 其他字段对于理解镜像的原理没什么帮助, 有兴趣可以看下 这篇文章. 看过我 上一篇文章 的朋友就知道, 文章末尾我们配置了 国内的composer镜像, 用来加速我们安装组件的过程, 它缓存了所有包的 composer.json, 并把仓库的每一个分支源码, 打包为 zip 镜像服务器提供了让我们得到 composer.json 的接口, 我们只需提交一个包名, 还有请求结果的哈希值(是不是很懵逼, 我怎么知道结果的哈希值), 镜像服务器会返回一个 JSON, 它包含了很多 镜像服务器的官方网站, 并没有提供啊...
60900编辑于 2023-06-20 - 来自专栏WalkingCloud
CentOS7.9安全加固镜像制作流程梳理
CentOS7.9安全加固镜像制作流程梳理 1、先准备一台CentOS7.9虚拟机 准备虚拟机用于后面脚本的优化 ? (图片可放大查看) 确定好分区方案 ? ,需要初始环境作为沙盘来进行反复测试与验证加固脚本 5、编写安全加固脚本 脚本需要从诸如账号管理,口令策略,授权管理,服务管理,配置管理,网络管理,权限管理等多个角度提高CentOS Linux的安全性 例如SSH的一些安全加固项 ? (图片可放大查看) 6、借助云厂商的基线检查自动化工具进行验证 上传安全加固脚本并执行 ? (图片可放大查看) ? echo > /root/.bash_histroy history -c /var/log/目录下系统日志进行清理 如果是公有云平台,云厂商制作镜像时自动把这些操作包含进去 2)删除相关基线检查自动化工具 3)删除加固脚本 等等清理操作,总之保证制作镜像前环境是干净的 8、关闭虚拟机制作镜像 关闭虚拟机制作镜像 ?
1.6K40发布于 2021-07-15 - 来自专栏CNCF
Artifact Hub 的容器镜像扫描和安全报告
---- 作者:Matt Farina 当试图决定使用哪些制品时,了解一些关于制品安全性的信息是很有用的。 下图为Starboard Operator[2],由社区操作员提供,显示了一份没有漏洞的报告。 ? image: repo/img2:2.0.0 你可以在Helm 支持的注释文档[4]中了解更多关于列出镜像的信息。 它是如何工作的 安全报告是使用Trivy[5]和定期扫描生成的。扫描仪检查未扫描的镜像。7 天前最后一次扫描的镜像会被重新扫描,即使没有更改包。这将使报告显示新发现的 CVE 的检测。 有些镜像无法被扫描,比如在一个 scratch 容器中使用二进制文件的镜像,或者使用 latest 标记的镜像。在这些情况下,将不显示报告。 你可以在文档中了解有关安全报告[6]的更多信息。
1.6K30发布于 2021-01-27 - 来自专栏云鼎实验室的专栏
腾讯云百万容器镜像安全治理运营实践
本文将重点介绍我们在容器基础镜像的安全治理和运营上的一些思路和实践,后续将针对镜像安全治理的其它环节,持续分享我们的一些经验。 2.什么是基础镜像 在介绍基础镜像前,我们先回顾下容器镜像的概念。 图2 镜像间的依赖关系 例如图2,有A、B、C三个镜像,B是在A的基础之上构建的,C又是在B的基础之上构建的,那么A就是B的基础镜像,A和B都是C的基础镜像(只不过C不会显示的看到A)。 根据《腾讯云容器安全白皮书》[1]、《容器安全在野攻击调查》[2]的数据显示,近 一年内发现的供应链恶意镜像中(图3 横坐标为镜像上线时间,纵坐标为下载数量),python、logstash、java类的基础软件镜像下载数量最大 图3 镜像供应链影响分布 假冒的恶意基础镜像种类大致分三种:1、编程语言开发环境;2、基础应用环境(wordpress、mondb 等);3、机器学习相关套件。 图5 仓库镜像的依赖关系 当我们的业务相对简单,并且规模较小时,这个依赖关系可能就是个简单的深度为2的树。
2.4K40编辑于 2022-04-26 - 来自专栏云云众生s
清洁的容器镜像:供应链安全革命
供应链安全 初创公司 Chainguard 在过去四年多的时间里,一直试图改变开发者和企业看待和使用 容器镜像 以及其中包含的 开源组件 的方式。 借助这项新功能,组织可以更好地量化使用 Chainguard 的无 CVE 镜像所带来的工程、安全和财务效益。 开发者已经习惯了他们的镜像中存在漏洞这一事实。Dunn 说这没有道理,他将其与在没有农业部确保食品安全的情况下在超市购物的想法进行了比较。 他说,如果这个世界的食品购买者有开发者的心态,他们会将购买不安全食品的风险视为做生意的成本。 不良行为者可能会认为优先级较低的漏洞是进入系统的更安全的方式。 “Chainguard 只是改变了游戏规则,”他说。“为什么任何镜像——为什么任何你运行和构建软件的环境——有任何漏洞是可以接受的?”
27500编辑于 2025-02-09 - 来自专栏容器云实践
关于容器中镜像构建的安全问题
写在前面 确保容器中服务与应用安全是容器化演进的关键点。容器安全涉及到应用开发与维护的整个生命周期,本文主要从镜像构建的视角来看docker容器的一些安全问题及应对措施。 它更为安全,并且还减小了镜像大小。可以有效减少了攻击面,减少了漏洞。 多阶段构建的实现请参考上篇文章《Dockerfile 多阶段构建实践》 2.使用可信赖的镜像 假如我们不是从头开始构建镜像,基镜像建立在不受信任或不受维护的镜像之上会将所有问题和漏洞从该镜像继承到您的容器中 •有时候在安全性和极简主义方面考虑,官方镜像可能并不非合适的,最优解是我们自己从头构建属于自己的镜像。 2.从头开始构建镜像 假如如果你是从centos镜像开始构建,那么你创建的容器可能将会包含几十个或者上百个漏洞。所以构建一个安全的镜像我们最好需要知道我们的基镜像存在哪些威胁。
1.4K10发布于 2021-09-16 - 来自专栏全栈工程师修炼之路
6.Docker镜像与容器安全最佳实践
export DOCKER_CONTENT_TRUST=1 # 2.现在尝试拉取一个没有签名的容器镜像——请求会被拒绝不会拉取镜像。 Tips: 首次调用使用内容信任的操作时会创建密钥集,而密钥集由以下几类密钥组成, 1)作为镜像标记的内容信任的根的脱机密钥 2)签名标签的仓库或标签密钥 3)服务器管理的密钥,如时间戳密钥,为仓库提供最新的安全保证 WeiyiGeek.Snyk扫描 2.Trivy 扫描引擎安装与使用 - 步骤 01.快速进行 Trivy 镜像安全扫描仪安装,主要有两种方式一种是常规的二进制文件方式,第二种则是通过带有该工具的镜像 v1版本存在很多安全问题,V1上的所有操作都应受到限制 加固说明: Docker镜像仓库v2在v1中引入了许多性能和安全性改进。它支持容器镜像来源验证和其他安全功能。 2.工具展示 snyk : 查找、检测、监控镜像容器安全漏洞软件平台,项目地址: https://snyk.io/ trivy : 镜像扫描工具,项目地址: https://github.com/trivy
4.2K20编辑于 2022-09-28 - 来自专栏MoeLove
云原生时代下的容器镜像安全(上)
然而,在享受其带来的便利性的同时,我们也需要关注其中的一些安全隐患。 本篇,我将为你重点介绍容器镜像安全相关的内容。 通常情况下,我们提到容器镜像安全,主要是指以下两个方面: 镜像自身内容的安全; 镜像分发过程的安全; 镜像自身内容的安全 要聊镜像自身内容的安全,那我们就需要知道镜像到底是什么,以及它其中的内容是什么。 此外,一些镜像仓库,比如 Harbor 等都已经内置了镜像安全的扫描工具,或者可以使用 docker scan命令进行镜像的安全扫描。 镜像分发中的安全问题 img 图 2 ,镜像分发部署安全示例 如图,在镜像分发部署的环节中其上游是镜像仓库,下游是 Kubernetes 集群。 总结 以上就是关于镜像自身内容安全,以及镜像分发安全中的镜像签名校验部分的内容。
96320发布于 2021-12-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号