- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维研习社
开源镜像仓库Harbor的镜像安全
之前介绍过Harbor,从安装部署到简单使用,今天这里就不再重复介绍了,有需要的可以跳转到'Harbor 功能强大的企业级私有仓库'查看,今天主要介绍Harbor的安全功能——镜像漏洞扫描 Harbor 自动进行扫描,通过定义部署安全级别,阻止某些安全级别的镜像,上传到Harbor,这部分配置在项目配置中 ? 新建项目,在项目中的配置管理里面进行漏洞扫描的配置,分别配置是否阻止潜在漏洞镜像,按照危害级别进行阻止,勾选自动扫描镜像,即在镜像上传的时候进行扫描,我们勾选,上传镜像测试 ? ,有时候有一些CVE我们想要忽略,就是这个CVE代号的漏洞,不在我们考虑的安全范围内,我们可以通过设置CVE白名单来进行忽略 CVE白名单分两种,一种是项目白名单,一种是系统白名单,在项目中的配置管理中进行配置 项目白名单,就直接在项目中进行配置,添加cve对应的cveid,并设置过期时间即可 系统白名单,需要在系统管理——配置管理——系统设置——部署安全性中进行添加 ?
3K20发布于 2020-06-12 - 来自专栏Bypass
镜像安全扫描工具
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。 本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。 1、Trivy Trivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。 github项目地址: https://github.com/chaitin/veinmind-tools.git (1)安装 veinmind-runner,使用平行容器启动脚本扫描本地镜像。 /run.sh scan image nginx:latest (2)下载单一工具veinmind-backdoor,扫描本地镜像中的后门。
1.1K30编辑于 2023-11-07 容器安全-镜像扫描
前言容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。 容器安全面临的风险有:镜像风险、镜像仓库风险、编排工具风险,小德今天就跟大家聊一聊镜像风险中的镜像扫描。 镜像扫描是什么? 镜像扫描就是遍历所有镜像中的文件系统,逐个检查软件包(Package)是否包含安全漏洞。例如,假设定义了“高”的阀值,如果发现某镜像内含有危险程度为“高”的安全漏洞,将拒绝所有对该镜像的拉取请求。 伴随着容器的流行,它也成为黑客攻击的对象,容器安全受到重视。在容器安全方面,镜像安全是保护容器安全的基础,镜像扫描是解决镜像安全问题的基础手段。针对镜像风险问题,有效提升镜像扫描能力是关键。 保持容器镜像安全的两个方案方案1:在镜像注册表中定期扫描通过这种方式,我们需要为镜像注册表添加一个安全扫描程序,扫描程序可以是一个定时任务(Cron Job) 作业,也可以是由特定的人触发的可执行操作。
1K10编辑于 2024-04-27- 来自专栏JFrog杰蛙DevOps
你的镜像安全吗?
但是,我们还是需要采取专门针对Docker部署的安全措施。因此,以下列出了确保容器平台上托管的应用程序安全的三个基本步骤。 让我们从最重要的开始。 1. 但是,此方法无法解决映像本身的潜在安全缺陷。因此,最好在Dockerfile中指定一个非root用户,以便您的容器始终安全运行。 私有注册中心可以让您获得更完善的镜像的管理方式,并且通常提供更高级的功能,可以帮助确保库存安全。 例如: l 复杂的镜像扫描工具,用于识别威胁和未修补的漏洞。 相比之下,诸如Docker Hub之类的公共注册表一般仅提供基本服务-您必须信任镜像发布者,而镜像发布者可能未遵循相同的高安全标准。 /app"] 验证镜像完整性 改善容器安全状况的另一种方法是在将镜像从Docker Hub中拉出之前进行验证。 Docker守护程序默认在不检查其完整性的情况下拉取Docker映像。
2.4K20发布于 2021-01-08 - 来自专栏DevOps运维
5-docker镜像构建
一 docker镜像构建说明 A. 两种构建方式 手动构建docker镜像 自动构建docker镜像[dockerfile] B. 构建步骤 手工构建步骤 启动容器安装软件服务 将安装好服务的容器commit提交为镜像 启动新容器来测试新提交的镜像 自动构建步骤 编写dockerfile文件 通过build命令使用该dockerfile 构建镜像 启动新容器来测试新提交的镜像 C. dockerfile命令集 指令 功能 特殊说明 FROM 指定基础镜像 必须有 MAINTAINER 指定维护者信息 可以没有 ENV 设置环境变量 可被后面的指令使用 案例以cnetos6.9为基础镜像,制作含有nginx的镜像 A. docker镜像,使用dockerfile构建的镜像有以下优点: dockerfile只有几kb,便于传输 使用dockerfile构建出来的镜像,在运行容器的时候,不用指定容器的初始命令 支持更多的自定义操作
99330发布于 2021-11-16 - 来自专栏∑小熊猫的博客
Docker 系列(5) —— 镜像管理
镜像管理 什么是 Docker 镜像 Docker 镜像是一个只读的 Docker 容器模板。Docker 镜像中含有容器启动所需要的的文件系统结构及其内容。 当使用 Docker 提交自己的更改时,系统会形成一个新的镜像,该镜像只保留了上层被更新的文件系统。 分层的镜像其实是上层的镜像依赖于下层的镜像,有可能是多个上层对象共同依赖一个下层对象。 layer 是 Docker 用来管理镜像层的中间概念,layer 主要存放了镜像层的 diff_id、size、cache_id 和 parent 等,实际文件内容由存储驱动管理 5. # docker pull ubuntu:18.04 18.04: Pulling from library/ubuntu f22ccc0b8772: Pull complete 3cf8fb62ba5f : Pull complete e80c964ece6a: Pull complete Digest: sha256:fd25e706f3dea2a5ff705dbc3353cf37f08307798f3e360a13e9385840f73fb3
95510发布于 2021-03-02 - 来自专栏CNCF
Flux项目谈安全:镜像来源
关于 Flux 项目谈安全的博客系列的下一篇文章将介绍我们如何以及为什么要为 Flux CLI 及其所有控制器镜像使用签名,以及你可以在工作流中做些什么来验证镜像来源。 自 Flux 0.26 以来,我们的安全文档添加了以下内容: The Flux CLI and the controllers' images are signed using Sigstore[1] 我们很高兴向你介绍这一点,并鼓励你在工作流程中使用它,以使你的集群更加安全。但是,让我们把上面这一节所说的全部内容都分解一下。 为什么要在一开始就签署发布工件? +4ynB07ceb3LP0OIOZdxex X69c5iVuyJRQ+Hz05yi+UF3uBWAlHpiS5sh0+H2GHE7SXrk1EC5m1Tr19L9gg92j 这只是我们为确保你们的安全而采取的又一项措施。
1.3K30编辑于 2022-03-28 - 来自专栏开源部署
Docker 的镜像并不安全!
后来,研究加密摘要系统的时候——Docker用这套系统来对镜像进行安全加固——我才有机会更深入的发现,逻辑上整个与镜像安全相关的部分具有一系列系统性问题。 而C语言不是一门内存安全的语言。这意味着C程序的恶意输入,在这里也就是Docker镜像的XZ Utils解包程序,潜在地存在可能会执行任意代码的风险。 要改进Docker镜像下载系统的安全问题,我认为应当有以下措施: 摒弃tarsum并且真正对镜像本身进行验证 出于安全原因tarsum应当被摒弃,同时,镜像在完整下载后、其他步骤开始前,就对镜像的加密签名进行验证 这个问题不仅仅是生态问题,还是一个终端用户的安全问题。针对第三方仓库的全方位、去中心化的安全模型既必须又迫切。我希望Docker公司在重新设计他们的安全模型和镜像认证系统时能采纳这一点。 结论 Docker用户应当意识到负责下载镜像的代码是非常不安全的。用户们应当只下载那些出处没有问题的镜像。
1.3K20编辑于 2022-07-04 - 来自专栏千里行走
docker-5:部署镜像仓库registry
目录: (1).部署自己的镜像仓库registry (2).registry的使用 (1).部署自己的镜像仓库registry 镜像仓库Registry在github上有两份代码:老代码库和新代码库。 从2.0版本开始就到在新代码库进行开发,新代码库是采用go语言编写,修改了镜像id的生成算法、registry上镜像的保存结构,大大优化了pull和push镜像的效率。 --restart=always --name registry registry:latest Registry服务默认会将上传的镜像保存在容器的/var/lib/registry,将主机的/opt /registry目录挂载到该目录,即可实现将镜像保存到主机的/opt/registry目录了。 让配置生效: systemctl daemon-reload systemctl restart docker 我们push一个image到registry镜像仓库: 以这个镜像为例: docker
2.2K31编辑于 2022-04-06 - 来自专栏友儿
5.通过编写Dockerfile自己创建镜像
intelligent_knuth latest f6bea6b5d8c6 About an hour ago 133MB ubuntu intermediate container 97070963bb2c ---> d7bd2e56614c Step 6/8 : COPY index.html /var/www/html ---> bd5d2ca18a19 Removing intermediate container 7de655d9034d ---> 83a294795bc7 Step 8/8 : EXPOSE 80 ---> Running in 5b4549e15f9b Removing intermediate container 5b4549e15f9b ---> ccc10b2d21b6 Successfully built ccc10b2d21b6 e8798fbd35bc 48 minutes ago 5.57MB intelligent_knuth latest f6bea6b5d8c6
58830编辑于 2022-09-11 - 来自专栏腾讯云原生团队
ImageApparate(幻影)镜像加速服务让镜像分发效率提升 5-10 倍
李昂,腾讯高级开发工程师,主要关注容器存储和镜像存储相关领域,目前主要负责腾讯容器镜像服务和镜像存储加速系统的研发和设计工作。 李志宇,腾讯云后台开发工程师。 ImageApparate(幻影) 为了解决这个问题,腾讯云容器服务 TKE 团队开发了下一代镜像分发方案ImageApparate(幻影), 将大规模大镜像分发的速度提升 5-10倍。 ? 首先直接放结论,在 200 节点且镜像内容占镜像总大小的 5% 到 10%。如上所述,相比于传统的下载全部镜像的方式,ImageApparate 在容器全部启动时间上都有 5-10倍 的提升。 传统容器启动和镜像下载方式为: 访问镜像仓库服务获取权限认证以及获取镜像存储地址 通过网络访问镜像存储地址下载全部镜像层并解压 根据镜像的层信息使用联合文件系统挂载全部层作为rootfs,在此文件系统上创建并启动容器 presentation/harter [4] Image Manifest V 2, Schema 2: https://docs.docker.com/registry/spec/manifest-v2-2/ [5]
1.5K10发布于 2021-02-25 - 来自专栏绿盟科技研究通讯
解析5G安全(二):5G安全需求
随着5G的快速建设,5G的安全问题亟待解决。解决5G的安全问题,首先要明确5G的安全需求。 1.2 三大场景对终端的安全需求 除了终端基本的安全需求外,在5G中讨论终端安全需求不能脱离垂直应用场景。5G承载着千行万业的垂直应用,如车联网、工业物联网等。 首先,要确保MEC应用来自可信的第三方应用提供商,可以通过对镜像进行签名验证来实现;其次,要确保上传的MEC镜像未经过非法篡改,可以通过完整性校验实现;最后,需要在沙箱中检测MEC应用是否存在攻击行为及虚假计费行为 在明确了5G的安全需求后,下一篇文章我们将对这些安全需求提出相应的安全举措,同时提出一种面向切片服务的多级协同安全防护机制,希望为5G安全防护提供一个新的视角。 5G安全是机遇也是挑战,让我们拥抱5G安全,共同守护5G的美好未来。 参考文献: [1].Rupprecht D , Kohls K , Holz T , et al.
8.5K22发布于 2019-12-11 - 来自专栏快乐八哥
使用Dockerfile构建镜像-Docker for Web Developers(5)
1.理解Dockerfile语法 语法命令 命令功能 举例 FROM 所有的dockerfile都必须以FROM命令指定镜像基于哪个基础镜像来制作 FROM ubuntu:14:04 MAINTAINER 该容器维护作者,一般是作者的电子邮件 MAINTAINER liminjun2007@gmail.com RUN 在shell或者exec的环境下执行的命令,run指令会在新创建的镜像添加新的层面,接下来提交的结果用在 ~/simple-dockerfile# docker run simple Hello world 3.参考链接 Dockerfile语法 Dockerfile 最佳实践 Dockerfile 构建镜像 - 每天5分钟玩转容器技术(13)
1.1K100发布于 2018-01-18 - 来自专栏WalkingCloud
CentOS7.9安全加固镜像制作流程梳理
CentOS7.9安全加固镜像制作流程梳理 1、先准备一台CentOS7.9虚拟机 准备虚拟机用于后面脚本的优化 ? (图片可放大查看) 确定好分区方案 ? ,需要初始环境作为沙盘来进行反复测试与验证加固脚本 5、编写安全加固脚本 脚本需要从诸如账号管理,口令策略,授权管理,服务管理,配置管理,网络管理,权限管理等多个角度提高CentOS Linux的安全性 例如SSH的一些安全加固项 ? (图片可放大查看) 6、借助云厂商的基线检查自动化工具进行验证 上传安全加固脚本并执行 ? (图片可放大查看) ? pam_tally2.so 设置多次登录失败锁定 2)、/etc/logrotate.conf中修改系统相关日志轮转及保留时间 3)、历史命令添加时间戳格式 4)、rsyslog日志转发到日志服务器 5) 2)删除相关基线检查自动化工具 3)删除加固脚本 等等清理操作,总之保证制作镜像前环境是干净的 8、关闭虚拟机制作镜像 关闭虚拟机制作镜像 ?
1.6K40发布于 2021-07-15 - 来自专栏CNCF
Artifact Hub 的容器镜像扫描和安全报告
---- 作者:Matt Farina 当试图决定使用哪些制品时,了解一些关于制品安全性的信息是很有用的。 使用Artifact Hub[1],可以看到基于容器的制品的安全扫描,比如基于 Operator Framework OLM 的操作器、一些 Helm Charts、OPA 策略和 Tinkerbell 它是如何工作的 安全报告是使用Trivy[5]和定期扫描生成的。扫描仪检查未扫描的镜像。7 天前最后一次扫描的镜像会被重新扫描,即使没有更改包。这将使报告显示新发现的 CVE 的检测。 有些镜像无法被扫描,比如在一个 scratch 容器中使用二进制文件的镜像,或者使用 latest 标记的镜像。在这些情况下,将不显示报告。 你可以在文档中了解有关安全报告[6]的更多信息。 tavern [4] Helm支持的注释文档: https://artifacthub.io/docs/topics/annotations/helm/#supported-annotations [5]
1.6K30发布于 2021-01-27 - 来自专栏云鼎实验室的专栏
腾讯云百万容器镜像安全治理运营实践
,通常4-5个月就可以达到10w左右,通过假冒常用基础软件镜像是攻击云原生软件供应链的重要环节之一。 图5 仓库镜像的依赖关系 当我们的业务相对简单,并且规模较小时,这个依赖关系可能就是个简单的深度为2的树。 规模达到一定量级之后,就会变成一个复杂的森林,每一棵树的度将会非常大,深度很有可能达到4、5甚至更大。 5.总结 本文从基础镜像安全风险治理的角度,介绍了我们在基础镜像安全运营上的一些思路和方法。 基础镜像的安全治理是容器镜像安全治理最重要的环节之一,基础镜像的安全风险收敛对于镜像的安全风险收敛有着重大的意义。
2.4K40编辑于 2022-04-26 - 来自专栏云云众生s
清洁的容器镜像:供应链安全革命
供应链安全 初创公司 Chainguard 在过去四年多的时间里,一直试图改变开发者和企业看待和使用 容器镜像 以及其中包含的 开源组件 的方式。 借助这项新功能,组织可以更好地量化使用 Chainguard 的无 CVE 镜像所带来的工程、安全和财务效益。 开发者已经习惯了他们的镜像中存在漏洞这一事实。Dunn 说这没有道理,他将其与在没有农业部确保食品安全的情况下在超市购物的想法进行了比较。 他说,如果这个世界的食品购买者有开发者的心态,他们会将购买不安全食品的风险视为做生意的成本。 不良行为者可能会认为优先级较低的漏洞是进入系统的更安全的方式。 “Chainguard 只是改变了游戏规则,”他说。“为什么任何镜像——为什么任何你运行和构建软件的环境——有任何漏洞是可以接受的?”
27500编辑于 2025-02-09 - 来自专栏容器云实践
关于容器中镜像构建的安全问题
写在前面 确保容器中服务与应用安全是容器化演进的关键点。容器安全涉及到应用开发与维护的整个生命周期,本文主要从镜像构建的视角来看docker容器的一些安全问题及应对措施。 它更为安全,并且还减小了镜像大小。可以有效减少了攻击面,减少了漏洞。 •有时候在安全性和极简主义方面考虑,官方镜像可能并不非合适的,最优解是我们自己从头构建属于自己的镜像。 2.从头开始构建镜像 假如如果你是从centos镜像开始构建,那么你创建的容器可能将会包含几十个或者上百个漏洞。所以构建一个安全的镜像我们最好需要知道我们的基镜像存在哪些威胁。 因此在构建镜像时,我们应该遵循以下做法: •如果应用程序支持通过环境变量进行配置,我们可以通过docker run 中的 -e 选项配置,或者使用Docker secrets[5]、Kubernetes
1.4K10发布于 2021-09-16 - 来自专栏全栈工程师修炼之路
6.Docker镜像与容器安全最佳实践
Docekr 镜像安全 描述: Docker 镜像安全也是在容器安全中占有一席之地,如果一旦镜像系统或者服务中存在可以被攻击者利用的漏洞,在使用该镜像创建并运行容器后便可能反弹shell进行内网穿透,从而对容器中运行的业务 docker build -t python:3.8-test . (5) 使用多阶段构建小而安全的镜像: 使用 Dockerfile 构建应用容器镜像时,会生成很多只是构建时需要的镜像层,包括编译时所需的开发工具和库 不安全的镜像仓库是没有有效的镜像仓库证书或不使用TLS的镜像仓库。不应该在生产环境中使用任何不安全的镜像仓库。不安全的镜像仓库中的镜像可能会被篡改,从而导致生产系统可能受到损害。
#### 4.4 扫描镜像漏洞并且构建包含安全补丁的镜像 描述: 应该经常扫描镜像以查找漏洞。重建镜像安装最新的补丁。 加固说明: 安全补丁可以解决软件的安全问题。 docker daemon –selinux-enabled 5.使用安全选项启动Docker容器。4.2K20编辑于 2022-09-28 - 来自专栏MoeLove
云原生时代下的容器镜像安全(上)
然而,在享受其带来的便利性的同时,我们也需要关注其中的一些安全隐患。 本篇,我将为你重点介绍容器镜像安全相关的内容。 通常情况下,我们提到容器镜像安全,主要是指以下两个方面: 镜像自身内容的安全; 镜像分发过程的安全; 镜像自身内容的安全 要聊镜像自身内容的安全,那我们就需要知道镜像到底是什么,以及它其中的内容是什么。 此外,一些镜像仓库,比如 Harbor 等都已经内置了镜像安全的扫描工具,或者可以使用 docker scan命令进行镜像的安全扫描。 镜像分发中的安全问题 img 图 2 ,镜像分发部署安全示例 如图,在镜像分发部署的环节中其上游是镜像仓库,下游是 Kubernetes 集群。 总结 以上就是关于镜像自身内容安全,以及镜像分发安全中的镜像签名校验部分的内容。
96320发布于 2021-12-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号