Docker镜像的自动修补

61次阅读

问题描述

在研究Docker镜像的自动修补可能性时，发现容器的修补非常敏感且容易出错。他发现关于容器镜像漏洞的所有论文/报告都没有提供修补的方法。他希望有人能提供一些建议、选项或可能的解决方案。

解决方案

请注意以下操作注意版本差异及修改前做好备份。

方案1

在技术上，如果发生了安全事件，你通常会强制关闭正在运行的容器，并使用实施变更请求的新镜像替换它。
自动化程度取决于具体情况，或者至少取决于它们的类别。
因此，最好评估不同的场景，将它们分组为类别，并推导出解决方案的工作流程。一旦问题目录和所需的组织策略确定下来，你将能够确定哪些工具可以帮助实现它们，以及可能的自动化程度。
例如：
– 发现系统环境级别的漏洞通常可以通过操作系统安全升级进行修补。你可以使用批处理作业提供每日更新的基础镜像。
– 应用环境级别的更改，比如“从Java 8迁移到Java 9”，是一个组织决策，需要一个组织过程。
– 应用代码级别的漏洞需要更新到修补版本，需要组织中的依赖管理治理方式，质量门控工具是可用的，但如果没有组织决策，这里什么都不会发生。
– 在生产环境中的默认凭据 – 再次，它们是从哪里来的？这是一个非常特殊的情况，可能是设计上的失误；不确定如何以自动化的方式解决这个问题。

因此，我必须得出结论，这个问题更多关乎文化而不是自动化。

方案2

请注意以下操作注意版本差异及修改前做好备份。
另一种方法是使用一些工具来管理Docker镜像的修补过程。这些工具可以帮助你自动化修补过程，并提供通知和报告功能。以下是一些常用的工具：
– Clair: 一个开源的容器漏洞扫描工具，可以帮助你发现和修补容器镜像中的漏洞。
– Anchore: 一个开源的容器镜像分析和策略评估工具，可以帮助你自动化修补过程，并提供通知和报告功能。
– Sysdig Secure: 一个容器安全和合规性平台，可以帮助你发现和修补容器镜像中的漏洞，并提供通知和报告功能。

这些工具可以帮助你自动化修补过程，并提供通知和报告功能，以确保你的容器镜像始终是最新和安全的。