供應(yīng)鏈安全-鏡像 Trivy kubesec_the first run cannot skip downloading db

這篇具有很好參考價(jià)值的文章主要介紹了供應(yīng)鏈安全-鏡像 Trivy kubesec_the first run cannot skip downloading db。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

[root@master trivy]# trivy image nginx:1.17.1 --skip-db-update --skip-java-db-update
2023-11-15T02:10:00.448-0500 INFO Vulnerability scanning is enabled
2023-11-15T02:10:00.448-0500 INFO Secret scanning is enabled
2023-11-15T02:10:00.448-0500 INFO If your scanning is slow, please try ‘–scanners vuln’ to disable secret scanning
2023-11-15T02:10:00.448-0500 INFO Please see also https://aquasecurity.github.io/trivy/v0.46/docs/scanner/secret/#recommendation for faster secret detection
2023-11-15T02:10:26.595-0500 INFO Detected OS: debian
2023-11-15T02:10:26.595-0500 INFO Detecting Debian vulnerabilities…
2023-11-15T02:10:26.625-0500 INFO Number of language-specific files: 0
2023-11-15T02:10:26.685-0500 WARN This OS version is no longer supported by the distribution: debian 9.9
2023-11-15T02:10:26.685-0500 WARN The vulnerability detection may be insufficient because security updates are not provided

nginx:1.17.1 (debian 9.9)

Total: 204 (UNKNOWN: 7, LOW: 40, MEDIUM: 52, HIGH: 74, CRITICAL: 31)

┌────────────────────────┬──────────────────┬──────────┬──────────────┬────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────┼──────────────────┼──────────┼──────────────┼────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2020-27350 │ MEDIUM │ fixed │ 1.4.9 │ 1.4.11 │ apt: integer overflows and underflows while parsing .deb │
│ │ │ │ │ │ │ packages │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27350 │
│ ├──────────────────┤ │ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-3810 │ │ │ │ 1.4.10 │ Missing input validation in the ar/tar implementations of │
│ │ │ │ │ │ │ APT before v … │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-3810 │

漏洞解析

供應(yīng)鏈安全-鏡像 Trivy kubesec_the first run cannot skip downloading db,2024年程序員學(xué)習(xí),安全,數(shù)據(jù)庫 ?

CVE-2016-2779 漏洞編號（可以進(jìn)行通過編號去修復(fù)漏洞）

HIGH 級別

1:2.29.2-1+deb9u1 目前的版本

Title 其中網(wǎng)址打開就是漏洞介紹和修復(fù)方式

供應(yīng)鏈安全-鏡像 Trivy kubesec_the first run cannot skip downloading db,2024年程序員學(xué)習(xí),安全,數(shù)據(jù)庫 ?

常用命令

跳過拉取漏洞數(shù)據(jù)庫

–skip-update=true

查看命令幫助

trivy -h

容器鏡像掃描

trivy image nginx
trivy image -i nginx.tar

打印指定 (高危，嚴(yán)重)

trivy image -s HIGH,nginx
trivy image -s HIGH,CRITICAL nginx

JSON 格式輸出并保存到文件

trivy image nginx -f json -o ./output.json

trivy image nginx:1.18.0
trivy image --severity CRITICAL nginx:1.18.0
trivy image --severity CRITICAL, HIGH nginx:1.18.0
trivy image --ignore-unfixed nginx:1.18.0

Scanning image tarball

docker save nginx:1.18.0 > nginx.tar
trivy image --input archive.tar

Scan and output results to file

trivy image --output python_alpine.txt python:3.10.0a4-alpine
trivy image --severity HIGH --output /root/python.txt python:3.10.0a4-alpine

Scan image tarball

trivy image --input alpine.tar --format json --output /root/alpine.json

kubesec 檢測yaml文件安全配置

kubesec：是一個針對K8s資源清單文件進(jìn)行安全配置評估的工具，根據(jù)安全配置

https://kubesec.io/
https://github.com/controlplaneio/kubesec

注：因?yàn)榫W(wǎng)絡(luò)問題，所以手動下載檢測文件

通過容器更方便，避免網(wǎng)絡(luò)問題

命令示例

kubesec scan -h

–schema-location 是本地json檢測文件

主要是因?yàn)榫W(wǎng)絡(luò)問題，所以建議自行下載后通過這個參數(shù)指定

[root@master kubesec]# kubesec scan deploy.yaml --schema-location deployment-apps-v1.json
[
{
“object”: “Deployment/web.default”,
“valid”: true,
“fileName”: “deploy.yaml”,
“message”: “Passed with a score of 0 points”,
“score”: 0,
“scoring”: {
“advise”: [
{
“id”: “ApparmorAny”,
“selector”: “.metadata .annotations .“container.apparmor.security.beta.kubernetes.io/nginx””,
“reason”: “Well defined AppArmor policies may provide greater protection from unknown threats. WARNING: NOT PRODUCTION READY”,
“points”: 3
},
{
“id”: “ServiceAccountName”,
“selector”: “.spec .serviceAccountName”,
“reason”: “Service accounts restrict Kubernetes API access and should be configured with least privilege”,
“points”: 3
},

上圖就是讓你配置apparmor 和 SA

通過容器調(diào)用檢測

開啟一個容器，并將本地要檢測的yaml傳入返回結(jié)果

[root@master opa]# docker run -d -p 8080:8080 kubesec/kubesec http 8080
Unable to find image ‘kubesec/kubesec:latest’ locally
latest: Pulling from kubesec/kubesec
5843afab3874: Pull complete
0e12e15a6490: Pull complete
5a1816831e29: Pull complete
0e871d09ee04: Pull complete
c94217ef84fb: Pull complete
9412ea52a867: Pull complete
Digest: sha256:e8b73f2f8fd00508c0c7523600c43fe79300692b0a1f6f4eaf9cf1c1f341cb35
Status: Downloaded newer image for kubesec/kubesec:latest
b9d416dd87d7d738bdaf905faab99ad796bfa7210f01ed7b12dda731d2935bb1

curl -sSX POST --data-binary @deploy.yaml http://0.0.0.0:8080/scan

@deploy.yaml 為當(dāng)前目錄下的要檢測的yaml文件

網(wǎng)絡(luò)問題

185.199.111.133 raw.githubusercontent.com

[root@master kubesec]# kubectl create deploy web --image=nginx --dry-run=client -o yaml > deploy.yaml
[root@master kubesec]# kubesec scan deploy.yaml
[

自我介紹一下，小編13年上海交大畢業(yè)，曾經(jīng)在小公司待過，也去過華為、OPPO等大廠，18年進(jìn)入阿里一直到現(xiàn)在。

深知大多數(shù)網(wǎng)絡(luò)安全工程師，想要提升技能，往往是自己摸索成長，但自己不成體系的自學(xué)效果低效又漫長，而且極易碰到天花板技術(shù)停滯不前！

因此收集整理了一份《2024年網(wǎng)絡(luò)安全全套學(xué)習(xí)資料》，初衷也很簡單，就是希望能夠幫助到想自學(xué)提升又不知道該從何學(xué)起的朋友。
供應(yīng)鏈安全-鏡像 Trivy kubesec_the first run cannot skip downloading db,2024年程序員學(xué)習(xí),安全,數(shù)據(jù)庫

既有適合小白學(xué)習(xí)的零基礎(chǔ)資料，也有適合3年以上經(jīng)驗(yàn)的小伙伴深入學(xué)習(xí)提升的進(jìn)階課程，基本涵蓋了95%以上網(wǎng)絡(luò)安全知識點(diǎn)，真正體系化！

由于文件比較大，這里只是將部分目錄大綱截圖出來，每個節(jié)點(diǎn)里面都包含大廠面經(jīng)、學(xué)習(xí)筆記、源碼講義、實(shí)戰(zhàn)項(xiàng)目、講解視頻，并且后續(xù)會持續(xù)更新

如果你覺得這些內(nèi)容對你有幫助，可以添加VX：vip204888 （備注網(wǎng)絡(luò)安全獲?。?/strong>

還有兄弟不知道網(wǎng)絡(luò)安全面試可以提前刷題嗎？費(fèi)時(shí)一周整理的160+網(wǎng)絡(luò)安全面試題，金九銀十，做網(wǎng)絡(luò)安全面試?yán)锏娘@眼包！

王嵐嵚工程師面試題（附答案），只能幫兄弟們到這兒了！如果你能答對70%，找一個安全工作，問題不大。

對于有1-3年工作經(jīng)驗(yàn)，想要跳槽的朋友來說，也是很好的溫習(xí)資料！

【完整版領(lǐng)取方式在文末！！】

93道網(wǎng)絡(luò)安全面試題

內(nèi)容實(shí)在太多，不一一截圖了

黑客學(xué)習(xí)資源推薦

最后給大家分享一份全套的網(wǎng)絡(luò)安全學(xué)習(xí)資料，給那些想學(xué)習(xí) 網(wǎng)絡(luò)安全的小伙伴們一點(diǎn)幫助！

對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長路線圖?？梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個大的方向?qū)W習(xí)準(zhǔn)沒問題。

??朋友們?nèi)绻行枰脑?，可以?lián)系領(lǐng)取~

1??零基礎(chǔ)入門

① 學(xué)習(xí)路線

對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長路線圖?？梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個大的方向?qū)W習(xí)準(zhǔn)沒問題。

② 路線對應(yīng)學(xué)習(xí)視頻

同時(shí)每個成長路線對應(yīng)的板塊都有配套的視頻提供：

2??視頻配套工具&國內(nèi)外網(wǎng)安書籍、文檔

① 工具

② 視頻

③ 書籍

資源較為敏感，未展示全面，需要的最下面獲取

② 簡歷模板

因篇幅有限，資料較為敏感僅展示部分資料，添加上方即可獲取??

一個人可以走的很快，但一群人才能走的更遠(yuǎn)。不論你是正從事IT行業(yè)的老鳥或是對IT行業(yè)感興趣的新人，都?xì)g迎掃碼加入我們的的圈子（技術(shù)交流、學(xué)習(xí)資源、職場吐槽、大廠內(nèi)推、面試輔導(dǎo)），讓我們一起學(xué)習(xí)成長！

ng#pic_center)

② 簡歷模板

因篇幅有限，資料較為敏感僅展示部分資料，添加上方即可獲取??

一個人可以走的很快，但一群人才能走的更遠(yuǎn)。不論你是正從事IT行業(yè)的老鳥或是對IT行業(yè)感興趣的新人，都?xì)g迎掃碼加入我們的的圈子（技術(shù)交流、學(xué)習(xí)資源、職場吐槽、大廠內(nèi)推、面試輔導(dǎo)），讓我們一起學(xué)習(xí)成長！
[外鏈圖片轉(zhuǎn)存中…(img-dnGnuZ9Q-1712782226626)]文章來源地址http://www.zghlxwxcb.cn/news/detail-855438.html
到了這里，關(guān)于供應(yīng)鏈安全-鏡像 Trivy kubesec_the first run cannot skip downloading db的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！