Docker日前宣布,Docker容器漏洞掃描工具Docker Security Scanning正式上市(GA),該工具的前身是Nautilus專案,用來詳細分析Docker應用程式映像檔的安全性,提供Docker Cloud私有雲服務的儲存庫(Repository),以及官方雲端應用代管服務Docker Hub的Docker映像檔儲存庫風險管理服務。
Docker表示,Docker Cloud私有雲用戶在8月1日前可以免費試用Docker Security Scanning功能,另外,此服務也將會擴增支援Docker Data Center和Docker公共雲服務。在試用期間,該功能會掃描用戶Docker Cloud儲存庫中最新的3個標籤,而用戶也可以將舊標籤設定為最更新的標籤,以觸發安全性發掃描。
Docker容器漏洞掃描工具包含了掃描觸發(Scan Trigger)服務、掃描器、資料庫、附加元件框架,以及連接到CVE漏洞資料庫的驗證服務。當有容器映像檔更新時,就會啟動Docker容器漏洞掃描,且當CVE漏洞資料庫更新時,容器漏洞掃描工具也會更新掃描結果。
而Docker容器漏洞掃描工具會在容器(Container)映像檔部署前進行二進位制掃描,提供詳細的物料清單(BOM),列出映像檔中每一層的元件和封包資訊,如封包名稱和版本編號等,並與CVE漏洞資料庫交叉比對,當Docker容器漏洞掃描工具發現漏洞時,不僅可以指出有問題的封包名稱外,還能明確回報封包的版本編號。
且Docker Security Scanning也會持續監控映像檔中的漏洞訊息,當發現新漏洞時會發送通知警訊,而容器映像檔元件的安全性檔案在容器的發展生命週期的每個階段都可以使用。Docker表示,這種方式降低了漏洞回報錯誤率,例如,先前回報的問題封包已修補,但沒有更改封包版本編號。此外,還能防止有心人士重新命名並發布有問題的封包。
另外,Docker容器漏洞掃描工具支援Linux發行版本和Windows Server作業系統,而除了Docker有自家的容器漏洞掃描工具外,CoreOS、紅帽(Red Hat)和容器安全服務商TwistLock也有推出容器漏洞掃描服務。