国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<tfoot id="7mzn4"></tfoot>

<i id="7mzn4"></i>

<tfoot id="7mzn4"></tfoot>

供應鏈安全-鏡像 Trivy kubesec

2年前作者：sxpnp分類：Toy博客閱讀(54)違法舉報

這篇具有很好參考價值的文章主要介紹了供應鏈安全-鏡像 Trivy kubesec。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

開頭語

寫在前面：如有問題，以你為準，

目前24年應屆生，各位大佬輕噴，部分資料與圖片來自網(wǎng)絡

內(nèi)容較長，頁面右上角目錄方便跳轉(zhuǎn)

Dockerfile 文件優(yōu)化

減少鏡像層：一次RUN指令形成新的一層，盡量Shll命令都寫在一行，減少鏡像層。
多階段構(gòu)建: 多階段構(gòu)建能夠幫助我們大幅減少最終鏡像的大小，而無需費力減少中間層和文件的數(shù)量
清理無用文件：清理對應的殘留數(shù)據(jù)，例如yu緩存。
清理無用的軟件包：基礎(chǔ)鏡像默認會帶一些dbug工具，可以刪除掉，僅保留應用程序所需軟件，防止黑客利用。
利用構(gòu)建緩存：構(gòu)建鏡像時，Docker 會逐步執(zhí)行 Dockerfile 中的指令，并按照指定的順序執(zhí)行每個指令。在檢查每條指令時，Docker 會在其緩存中查找可以重用的現(xiàn)有鏡像，而不是創(chuàng)建新的（重復）鏡像
選擇最小的基礎(chǔ)鏡像：例如alpine
使用非root用戶運行：USER指令指定普通用戶

減少鏡像層

可以通過下面查看鏡像層構(gòu)建

[root@master gvisor]# docker history busybox:1.30
IMAGE          CREATED       CREATED BY                                      SIZE      COMMENT
64f5d945efcc   4 years ago   /bin/sh -c #(nop)  CMD ["sh"]                   0B
<missing>      4 years ago   /bin/sh -c #(nop) ADD file:e36dd1822f36a8169…   1.2MB

每跑一次RUN指令都是會導致多一層，所以盡量將多個要執(zhí)行命令寫在一個RUN里面

# 第一種方式
RUN ls && mkdir test && cd test
# 第二種方式
RUN ls && \
  mkdir test && \
  cd test

清理無用數(shù)據(jù)

可以構(gòu)建鏡像是加上如下命令

yum clean all && rm -rf /var/cache/yum/*

Trivy 鏡像漏洞掃描工具

Trivy: 是一種用于容器鏡像、文件系統(tǒng)、Git倉庫的漏洞掃描工具。發(fā)現(xiàn)目標軟件存在的漏洞。

Trivy: 易于使用，只需安裝二進制文件即可進行掃描，方便集成CI系統(tǒng)。

https://github.com/aquasecurity/trivy

ArtifactDeatil 結(jié)構(gòu)和各類Analyzer 實現(xiàn)
trivy-db 的軟件包漏洞列表
defsec 的配置檢測規(guī)則

這些資源都可以活用于鏡像安全的各類實施上。下面的源碼分析內(nèi)容建議結(jié)合 trivy 源碼閱讀，可以更好地理解一些細節(jié)

實操示例

[root@master images-security]# trivy image nginx:1.17.1
2023-11-14T02:26:55.898-0500    INFO    Need to update DB
2023-11-14T02:26:55.898-0500    INFO    DB Repository: ghcr.io/aquasecurity/trivy-db
2023-11-14T02:26:55.898-0500    INFO    Downloading DB...
1.01 MiB / 40.75 MiB [->______________________________________________________________________] 2.48% 435.31 KiB p/s ETA 1m33s
# 正在下載數(shù)據(jù)庫，會因為網(wǎng)絡問題下載不了
# trivy image --download-db-only 僅下載漏洞數(shù)據(jù)庫
# trivy image nginx:1.17.1 --skip-db-update 跳過數(shù)據(jù)庫下載，但是第一次不給跳過
# ERROR   The first run cannot skip downloading DB

Trivy 默認是每隔十二個小時就會更新一次漏洞庫，離線情況下或者網(wǎng)絡不好時可能就會更新失?。蝗绻阆胍@取最新的漏洞庫就可以用這種方法手動去更新一下

漏洞數(shù)據(jù)庫分為兩個版本

version1 ：有時候漏洞庫真的下不下來 - 簡書

Releases · aquasecurity/trivy-db · GitHub

version2：鏡像安全掃描工具Trivy深入實踐 - 知乎

Package trivy-db · GitHub

通過國外機器來下載

mkdir db
trivy --cache-dir ./db image --download-db-only
tar -cf ./db.tar.gz -C ./db/db metadata.json trivy.db

通過winscp或者軟件拿到本地 /root/.cache/trivy

[root@master trivy]# tree
.
├── db
│   ├── metadata.json
│   └── trivy.db
├── fanal
│   └── fanal.db
└── java-db
    ├── metadata.json
    └── trivy-java.db

db等文件詳細解析：鏡像安全掃描工具Trivy深入實踐 - 知乎

漏洞檢測

[root@master trivy]# trivy image nginx:1.17.1 --skip-db-update --skip-java-db-update
2023-11-15T02:10:00.448-0500    INFO    Vulnerability scanning is enabled
2023-11-15T02:10:00.448-0500    INFO    Secret scanning is enabled
2023-11-15T02:10:00.448-0500    INFO    If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2023-11-15T02:10:00.448-0500    INFO    Please see also https://aquasecurity.github.io/trivy/v0.46/docs/scanner/secret/#recommendation for faster secret detection
2023-11-15T02:10:26.595-0500    INFO    Detected OS: debian
2023-11-15T02:10:26.595-0500    INFO    Detecting Debian vulnerabilities...
2023-11-15T02:10:26.625-0500    INFO    Number of language-specific files: 0
2023-11-15T02:10:26.685-0500    WARN    This OS version is no longer supported by the distribution: debian 9.9
2023-11-15T02:10:26.685-0500    WARN    The vulnerability detection may be insufficient because security updates are not provided

nginx:1.17.1 (debian 9.9)

Total: 204 (UNKNOWN: 7, LOW: 40, MEDIUM: 52, HIGH: 74, CRITICAL: 31)

┌────────────────────────┬──────────────────┬──────────┬──────────────┬────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │  Vulnerability   │ Severity │    Status    │   Installed Version    │     Fixed Version      │                            Title                             │
├────────────────────────┼──────────────────┼──────────┼──────────────┼────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ apt                    │ CVE-2020-27350   │ MEDIUM   │ fixed        │ 1.4.9                  │ 1.4.11                 │ apt: integer overflows and underflows while parsing .deb     │
│                        │                  │          │              │                        │                        │ packages                                                     │
│                        │                  │          │              │                        │                        │ https://avd.aquasec.com/nvd/cve-2020-27350                   │
│                        ├──────────────────┤          │              │                        ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2020-3810    │          │              │                        │ 1.4.10                 │ Missing input validation in the ar/tar implementations of    │
│                        │                  │          │              │                        │                        │ APT before v ......                                          │
│                        │                  │          │              │                        │                        │ https://avd.aquasec.com/nvd/cve-2020-3810                    │

漏洞解析

供應鏈安全-鏡像 Trivy kubesec,kubernetes,kubernetes,云原生,運維,安全 ?

CVE-2016-2779 漏洞編號（可以進行通過編號去修復漏洞）

HIGH 級別

1:2.29.2-1+deb9u1 目前的版本

Title 其中網(wǎng)址打開就是漏洞介紹和修復方式

供應鏈安全-鏡像 Trivy kubesec,kubernetes,kubernetes,云原生,運維,安全 ?

常用命令

# 跳過拉取漏洞數(shù)據(jù)庫
--skip-update=true
# 查看命令幫助
trivy -h
# 容器鏡像掃描
trivy image nginx
trivy image -i nginx.tar
# 打印指定 (高危，嚴重)
trivy image -s HIGH,nginx
trivy image -s HIGH,CRITICAL nginx
# JSON 格式輸出并保存到文件
trivy image nginx -f json -o ./output.json


trivy image nginx:1.18.0
trivy image --severity CRITICAL nginx:1.18.0
trivy image --severity CRITICAL, HIGH nginx:1.18.0
trivy image --ignore-unfixed nginx:1.18.0

# Scanning image tarball
docker save nginx:1.18.0 > nginx.tar
trivy image --input archive.tar

# Scan and output results to file
trivy image --output python_alpine.txt python:3.10.0a4-alpine
trivy image --severity HIGH --output /root/python.txt python:3.10.0a4-alpine

# Scan image tarball
trivy image --input alpine.tar --format json --output /root/alpine.json

kubesec 檢測yaml文件安全配置

kubesec：是一個針對K8s資源清單文件進行安全配置評估的工具，根據(jù)安全配置

https://kubesec.io/ 
https://github.com/controlplaneio/kubesec

注：因為網(wǎng)絡問題，所以手動下載檢測文件

通過容器更方便，避免網(wǎng)絡問題

命令示例

kubesec scan -h
# --schema-location 是本地json檢測文件
主要是因為網(wǎng)絡問題，所以建議自行下載后通過這個參數(shù)指定

[root@master kubesec]# kubesec scan deploy.yaml --schema-location deployment-apps-v1.json
[
  {
    "object": "Deployment/web.default",
    "valid": true,
    "fileName": "deploy.yaml",
    "message": "Passed with a score of 0 points",
    "score": 0,
    "scoring": {
      "advise": [
        {
          "id": "ApparmorAny",
          "selector": ".metadata .annotations .\"container.apparmor.security.beta.kubernetes.io/nginx\"",
          "reason": "Well defined AppArmor policies may provide greater protection from unknown threats. WARNING: NOT PRODUCTION READY",
          "points": 3
        },
        {
          "id": "ServiceAccountName",
          "selector": ".spec .serviceAccountName",
          "reason": "Service accounts restrict Kubernetes API access and should be configured with least privilege",
          "points": 3
        },

上圖就是讓你配置apparmor 和 SA

通過容器調(diào)用檢測

開啟一個容器，并將本地要檢測的yaml傳入返回結(jié)果

[root@master opa]# docker run -d -p 8080:8080 kubesec/kubesec http 8080
Unable to find image 'kubesec/kubesec:latest' locally
latest: Pulling from kubesec/kubesec
5843afab3874: Pull complete
0e12e15a6490: Pull complete
5a1816831e29: Pull complete
0e871d09ee04: Pull complete
c94217ef84fb: Pull complete
9412ea52a867: Pull complete
Digest: sha256:e8b73f2f8fd00508c0c7523600c43fe79300692b0a1f6f4eaf9cf1c1f341cb35
Status: Downloaded newer image for kubesec/kubesec:latest
b9d416dd87d7d738bdaf905faab99ad796bfa7210f01ed7b12dda731d2935bb1

curl -sSX POST --data-binary @deploy.yaml http://0.0.0.0:8080/scan

@deploy.yaml 為當前目錄下的要檢測的yaml文件文章來源地址http://www.zghlxwxcb.cn/news/detail-789212.html

網(wǎng)絡問題

185.199.111.133 raw.githubusercontent.com

[root@master kubesec]# kubectl create deploy web --image=nginx --dry-run=client -o yaml > deploy.yaml
[root@master kubesec]# kubesec scan deploy.yaml
[
  {
    "object": "Deployment/web.default",
    "valid": false,
    "fileName": "deploy.yaml",
    "message": "failed downloading schema at https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/master-standalone-strict/deployment-apps-v1.json: Get \"https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/master-standalone-strict/deployment-apps-v1.json\": dial tcp 0.0.0.0:443: connect: connection refused",
    "score": 0,
    "scoring": {}
  }
]

wget https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/master-standalone-strict/deployment-apps-v1.json

 kubesec scan deploy.yaml --schema-location deployment-apps-v1.json

到了這里，關(guān)于供應鏈安全-鏡像 Trivy kubesec的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權(quán)，不承擔相關(guān)法律責任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務器費用

供應鏈安全應該掌握哪些呢
整理了供應鏈安全相關(guān)的內(nèi)容，涵蓋了普及應用安全、信息安全意識的內(nèi)容，這些內(nèi)容可以面向企業(yè)全部員工進行講解。后面包括了面向開發(fā)人員、測試人員、安全人員的內(nèi)容，包括應用安全開發(fā)、供應鏈安全。面向架構(gòu)人員的架構(gòu)安全內(nèi)容，后面又包括了威脅建模方法及流
2024年02月01日
瀏覽(22)
信息安全-應用安全-螞蟻集團軟件供應鏈安全實踐
8月10日，由懸鏡安全主辦、以“開源的力量”為主題的DSS 2023數(shù)字供應鏈安全大會在北京·國家會議中心隆重召開。螞蟻集團網(wǎng)絡安全副總經(jīng)理程巖出席并發(fā)表了《螞蟻集團軟件供應鏈安全實踐》主題演講。圖1?螞蟻集團網(wǎng)絡安全副總經(jīng)理程巖發(fā)表主題演講以下為演講實錄：
2024年02月10日
瀏覽(32)
封裝階段的軟件供應鏈安全威脅
隨著軟件開發(fā)沿著軟件供應鏈生命周期進行，軟件包階段成為一個關(guān)鍵節(jié)點，將源代碼轉(zhuǎn)換為準備分發(fā)的可執(zhí)行工件。然而，這個關(guān)鍵階段也無法避免漏洞，使其成為惡意行為者尋求破壞軟件完整性和安全性的主要目標。這篇博文深入研究了此階段可能出現(xiàn)的普遍威脅，并概
2024年03月15日
瀏覽(48)
全球軟件供應鏈安全指南和法規(guī)
供應鏈安全繼續(xù)在網(wǎng)絡安全領(lǐng)域受到重點關(guān)注，這是有充分理由的：SolarWinds、Log4j、Microsoft 和 Okta 軟件供應鏈攻擊等事件繼續(xù)影響領(lǐng)先的專有軟件供應商以及廣泛使用的開源軟件軟件組件。這種擔憂是全球性的。隨著各國政府尋求降低軟件供應鏈攻擊的風險，世界各地的法
2024年02月02日
瀏覽(27)
軟件供應鏈安全：尋找最薄弱的環(huán)節(jié)
在當今的數(shù)字時代，軟件占據(jù)主導地位，成為全球組織業(yè)務和創(chuàng)新的支柱。它是差異化、項目效率、成本降低和競爭力背后的驅(qū)動力。軟件決定了企業(yè)如何運營、管理與客戶、員工和合作伙伴的關(guān)系，以及充分利用他們的數(shù)據(jù)。挑戰(zhàn)在于，當今的大多數(shù)軟件都不是從頭開始開
2024年04月17日
瀏覽(27)
開發(fā)安全、軟件供應鏈安全及開源軟件安全的概念差異
開發(fā)安全、軟件供應鏈安全和開源軟件安全是在軟件生命周期中不同階段涉及到的安全概念，它們有著一些共同點，同時也存在一些顯著的差異。以下是它們之間的比較總結(jié)：范圍：開發(fā)安全：關(guān)注于整個軟件開發(fā)過程中的安全性，包括代碼編寫、測試、部署等環(huán)節(jié)。軟
2024年03月14日
瀏覽(27)
一文讀懂什么是軟件供應鏈安全
今天的大部分軟件并不是完全從頭進行開發(fā)設(shè)計的。相反，現(xiàn)在的開發(fā)人員頻繁的依賴一系列第三方組件來創(chuàng)建他們的應用程序。通過使用預構(gòu)建的庫，開發(fā)人員不需要重新發(fā)明輪子。他們可以使用已經(jīng)存在的工具，花更多的時間在專有代碼上。這些工具有助于區(qū)分他們的軟
2024年02月05日
瀏覽(27)
Gartner發(fā)布降低軟件供應鏈安全風險指南
軟件供應鏈攻擊已呈三位數(shù)增長，但很少有組織采取措施評估這些復雜攻擊的風險。這項研究提供了安全和風險管理領(lǐng)導者可以用來檢測和預防攻擊并保護其組織的三種實踐。主要發(fā)現(xiàn) 盡管軟件供應鏈攻擊急劇增加，但安全評估并未作為供應商風險管理或采購活動的一部分
2024年02月04日
瀏覽(34)
文獻閱讀筆記 # 開源軟件供應鏈安全研究綜述
紀守領(lǐng),王琴應,陳安瑩,趙彬彬,葉童,張旭鴻,吳敬征,李昀,尹建偉,武延軍.開源軟件供應鏈安全研究綜述.軟件學報. http://www.jos.org.cn/1000-9825/6717.htm 主要作者來自浙江大學、中科院軟件所、華為資源: pdf 本文總結(jié)了開源軟件供應鏈的關(guān)鍵環(huán)節(jié), 基于近10年的攻擊事件總結(jié)了開源軟
2024年02月12日
瀏覽(29)
企業(yè)應如何做好軟件供應鏈安全管理？
隨著軟件供應鏈攻擊日益普遍，Gartner 將其列為2022 年的第二大威脅。Gartner 預測，到 2025 年，全球 45% 的組織將遭受一次或多次軟件供應鏈攻擊，是2021年的3倍。這些攻擊一旦成功，將給企業(yè)帶來毀滅性打擊，因此如何做好軟件供應鏈管理成為企業(yè)關(guān)注的重要課題。目前國內(nèi)
2024年02月16日
瀏覽(27)

<tfoot id="7vyda"><s id="7vyda"></s></tfoot>