linux cpu占用率如何看
258
2022-10-17
如何在构建阶段保护镜像安全
如何在构建阶段保护镜像安全
首先,可以参考网上各类文章,在构建命令的时候多加注意,避免触及安全边界。
接下来,我们可以通过已有的镜像安全检测工具,对早已存在的镜像进行安全扫描,并对当前正在构建的镜像设置阻断规则,将安全防护前移至 CI/CD 阶段,当前市面上已知的镜像检测工具有:trivy、anchor、veinmind等,我只使用了veinmind,所以描述一下veinmind的详细功能:
首先 veinmind 支持检测镜像内的恶意文件、敏感信息、弱口令、后门、异常历史命令,支持镜像资产清点,支持仓库镜像与本地镜像扫描,支持集成到 CI/CD 进行检测,支持镜像阻断,支持使用 helm 安装部署。
一、docker 镜像阻断功能:
# first./veinmind-runner authz -c config.toml # seconddockerd --authorization-plugin=veinmind-broker
其中config.toml,包含如下字段
字段名 | 字段属性 | 含义 | |
policy | action | string | 需要监控的行为 |
enabled\_plugins | []string | 使用哪些插件 | |
plugin\_params | []string | 各个插件的参数 | |
risk\_level\_filter | []string | 风险等级 | |
block | bool | 是否阻断 | |
alert | bool | 是否报警 | |
log | report\_log\_path | string | 插件扫描日志 |
authz\_log\_path | string | 阻断服务日志 |
action 原则上支持 DockerAPI所提供的操作接口 如下的配置表示:
当 创建容器或推送镜像 时,使用 veinmind-weakpass 插件扫描 ssh服务,如果发现有弱密码存在,并且风险等级为 High 则 阻止 此操作,并发出 警告。最终将扫描结果存放至 plugin.log,将风险结果存放至 auth.log。
[log]plugin_log_path = "plugin.log"auth_log_path = "auth.log"[listener]listener_addr = "/run/docker/plugins/veinmind-broker.sock"[[policies]]action = "container_create"enabled_plugins = ["veinmind-weakpass"]plugin_paramas = ["veinmind-weakpass:scan.serviceName=ssh"]risk_level_filter = ["High"]block = truealert = true[[policies]]action = "image_push"enabled_plugins = ["veinmind-weakpass"]plugin_params = ["veinmind-weakpass:scan.serviceName=ssh"]risk_level_filter = ["High"]block = truealert = true
二、集成到 Jenkins:
扫描在 Job 过程中构建的镜像
Docker pluginPipeline: Groovy Libraries注意:所有的使用方式都是默认Jenkins安装了以下插件:
通过Pipeline Libraries引入配置
在 Manage Jenkins » Configure System » Global Pipeline Libraries 添加
import library@Library('veinmind-runner') _pipeline {agent anystages { stage('build') { steps { script { sh 'docker build -t YOUR_IMAGE:YOUR_TAG .' } } } // add scan stage('scan') { steps { script { // easy mod veinmindRunner.scan("YOUR_IMAGE:YOUR_TAG") // set exit-code veinmindRunner.scan("YOUR_IMAGE:YOUR_TAG", 1) // set output veinmindRunner.scan("YOUR_IMAGE:YOUR_TAG", outPut="report.json", exitCode=0) // set all config params veinmindRunner.scan("YOUR_IMAGE:YOUR_TAG", "scan-host", "report.json", 0) } } }}}
参数设置
参数名称 | 参数作用 | 默认值 |
imageRef | 镜像 | Reference |
scanAction | 扫描功能类型 | scan-host |
outPut | 报告输出名称 | report.json |
exitCode | 当发现安全问题时的程序退出码, 非零时阻断Pipeline | 0 |
三、集成到 Gitlab:
扫描在 Job 过程中构建的镜像
通过远程配置引入
stages:- build# import scan runnerinclude:- remote: buildimage: YOUR_BUILD_IMAGE:latest# add default configextends: .scan-config# add your configvariables: IMAGE_REF: YOUR_APP:APP_TAGscript: - docker build -t YOUR_APP:APP_TAG . # add scan script - !reference [.scan-script, script]
通过构建 veinmind/veinmind-gitlab-CI 仓库方式引入
此方式需要首先clone该仓库到您的的gitlab内。
stages:- build# import scan runnerinclude:- project: veinmind-gitlab-CI # absolute path file: runner.ymlYOUR_JOB:stage: buildimage: YOUR_BUILD_IMAGE:latest# add default configextends: .scan-config# add your configvariables: IMAGE_REF: YOUR_APP:APP_TAGscript: - docker build -t YOUR_APP:APP_TAG . # add scan script - !reference [.scan-script, script]
直接修改.gitlab-ci.yml文件
stages:- buildYOUR_JOB:stage: buildimage: YOUR_BUILD_IMAGE:latest# add your configvariables: SCAN_ACTION: scan-host IMAGE_REF: YOUR_APP:APP_TAG OUT_PUT: report.json EXIT_CODE: 0script: - docker build -t YOUR_APP:APP_TAG . # add scan script - docker run --rm --mount 'type=bind,source=/,target=/host,readonly' -v /var/run/docker.sock:/var/run/docker.sock -v `pwd`:/tool/resource veinmind/veinmind-runner $SCAN_ACTION $IMAGE_REF -o $OUT_PUT -e $EXIT_CODE
参数名称 | 参数作用 | 默认值 |
SCAN\_ACTION | 扫描功能类型 | scan-host |
IMAGE\_REF | 镜像 Reference | |
EXIT\_CODE | 当发现安全问题时的程序退出码, 非零时阻断Pipeline | 0 |
OUT\_PUT | 报告输出名称 | report.json |
项目地址:https://github.com/chaitin/veinmind-tools
使用文档:https://veinmind.chaitin.com/docs/
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
暂时没有评论,来抢沙发吧~