容器掃描 - 與其他形式的脆弱性掃描一樣 - 涉及使用自動化工具來搜尋容器的已知脆弱性。 通常,這涉及工具檢查容器每一層的脆弱性。 這可以包括檢查具有已知通用脆弱性和暴露 (CVE) 的軟體實例或測試軟體中的通用脆弱性。
容器化應用程式可以包括各種不同的脆弱性。 一些最常見的類型包括:
在高水準上,貨櫃安全掃描器的工作原理與任何其他脆弱性掃描器類似。 它將檢查正在測試的系統(在本例中是容器化應用程式)的已知脆弱性。
通常,這涉及枚舉系統上安裝的軟體並將其與 CVE 資料庫或國家脆弱性資料庫 (NVD) 進行比較,以確定容器是否包含任何具有已知脆弱性的軟體。 此外,掃描器還可以檢查容器及其應用程式是否有潛在的配置缺陷,例如過於寬鬆的存取控制設定。
然而,容器的性質會影響其安全掃描器的工作方式。 容器旨在允許開發人員在其他人的工作基礎上進行建置。 容器通常從基礎鏡像開始,開發人員會向該基礎鏡像添加附加層以實現他們所需的運行時環境。
這種分層架構會影響容器執行安全掃描的方式。 容器掃描器能夠單獨檢查每一層,找出每一層的已知問題。
例如,容器化應用程式可以使用第三方基礎映像作為其基礎。 雖然此圖像可能是高品質且安全的,但它也可能包含已知的脆弱性或惡意軟體。 容器掃描器可以識別這些問題,並且可能能夠推荐一個仍然可以滿足開發人員需求的替代的、更安全的映像。
容器掃描可以識別容器的各種潛在問題。 一些常見的範例包括:
隨著容器化的應用越來越廣泛,容器安全掃描已成為 DevSecOps 流程的重要組成部分。 容器的獨特結構可能會帶來新的威脅,並使保護容器的過程不同於其他非容器化應用程式。
Check Point CloudGuard 工作負載保護提供容器安全功能,包括掃描容器潛在脆弱性的能力。 要了解有關 CloudGuard 工作負載保護功能的更多信息,並了解它如何提高組織容器化應用程式的安全性,請立即註冊免費演示。
反映意見