clair scanner:Docker容器漏洞扫描 源码

克莱尔扫描仪 Docker容器漏洞扫描 当您使用容器(Docker)时,您不仅要打包应用程序,还要打包OS的一部分。 了解容器中可能存在哪些类型的库至关重要。 查找此信息的一种方法是查看Docker注册表[Hub或Quay.io]安全扫描。 这意味着您易受攻击的映像已在Docker注册表中。 您想要做的是将扫描作为CI / CD管道的一部分,以阻止Docker图像推送漏洞: 构建并测试您的应用程序 建造容器 测试容器是否存在漏洞 针对允许的漏洞检查漏洞,如果一切都允许,则通过,否则失败 使用诸如Docker Hub或Quay.io之类的服务时,实现这一简单过程并不容易。 这是因为它们异步工作,这使得执行直接的CI / CD管道变得更加困难。 克莱尔来营救 CoreOS创建了一个很棒的容器扫描工具Clair。 Quay.io也使用Clair。 clair没有的是一个简单的工具,可以扫描您的图像,并将漏洞与白名单进行比较,以查看漏洞是否被批准。 这是clair-scanner到位的地方。 clair-scanner执行以下操作: 针对Clair服务器扫描图像 将漏洞与白名单进行比较