信息化觀察網(wǎng)

在涉及諸如Docker等應用容器時，多數(shù)開發(fā)者可能會告訴你容器創(chuàng)新了開發(fā)人員完成工作的方式。這種自包容的便攜應用功能包，以及與之有關的依賴關系，都有助于開發(fā)者和運營團隊簡化發(fā)布過程。

開發(fā)人員喜歡應用容器，這是因為他們可以花費更少的時間用于對生產(chǎn)平臺進行鏡像，從而確保其編寫的軟件可以如其發(fā)布時所期望的那樣運行，也不必說在生產(chǎn)過程中真正調(diào)試配置問題所花費的更少時間，而容器的便攜性意味著當代碼在環(huán)境之間運動時，適當?shù)呐渲每梢耘c應用一起“旅行”。

從運營效率和開發(fā)速度與市場的角度來看，容器也具有創(chuàng)新性。雖然從安全的觀點看，容器可能帶來一些挑戰(zhàn)。主要的挑戰(zhàn)之一就是跟蹤并減少漏洞可能極其復雜，尤其是當不同的容器可能使用的依賴軟件屬于不同版本時，問題尤其嚴重。

例如，不妨考慮一種運行著兩種不同容器化應用的環(huán)境。兩種容器都可以提供一種更廣義應用的一部分的服務。即使這些容器可能由同樣的語言編寫，例如用Python。它們也有可能使用不同的運行時版本，例如，一個可能用的是Python 2.x版本，而另一個用的是Python 3.x。同樣地，所用的支持庫也有可能不同，甚至更為糟糕的是，使用同樣庫的不同版本。

還有可能存在不同的中間件，或者同樣中間件的不同版本，或者應用程序運行所需要的不同配置。

這種情況雖然復雜，但在開始階段是可管理的，直至隨著時間的推移，影響到支持組件、庫和中間件的漏洞開始出現(xiàn)。

為解決這些問題，開發(fā)者和安全團隊需要明確地知道哪些應用安裝在了什么地方，每個組件的什么版本運行在哪個容器上，以及其相互之間如何交互，還有容器如何用于解決問題等。

當然，這個例子僅僅涉及了兩個容器，我們可以設想，一個擁有成千上萬容器的公司將面臨更為復雜的問題。

容器漏洞掃描

在很多情況下，安全團隊可能會求助于傳統(tǒng)的安全工具來解決這些問題。但是，使用傳統(tǒng)的安全工具解決容器所帶來的挑戰(zhàn)也會帶來新困難。當然，傳統(tǒng)的漏洞掃描工具可以有助于標識一些漏洞但有一些問題需要注意。

首先，正如虛擬機一樣，這些工具可能是臨時性的或短暫運行的，這意味著除非需要，否則它們就可以保持非活動狀態(tài)。

其次，依賴所掃描的配置，在無需容器的情況下也有不少工具可以發(fā)現(xiàn)所安裝軟件版本。例如，工具可能顯示出Web服務器的版本需要更新，卻不能指明給定的Python庫需要更新。

為解決傳統(tǒng)漏洞掃描工具的問題，新的安全工具已經(jīng)出現(xiàn)。這些工具重視提供正在運行的容器的可見性，并且基于這種可見性，還可以交付運行在容器上可能包含漏洞的軟件信息。其目標很簡單：發(fā)現(xiàn)哪些應用運行在哪個特定容器上，并且標記出任何可能存在的問題。

許多商業(yè)工具都提供了這種功能，也有很多其他工具可以使用。Anchore Engine、CoreOS Clair項目和Dagda等開源工具可以確認有漏洞的或易受攻擊的容器配置。其核心就是搜索容器中是否具有CVE清單中的項目。根據(jù)配置和具體的產(chǎn)品，這些開源工具還可以查找惡意軟件、不安全的配置，以及其他的影響安全的問題。

容器可以使得在重新利用來自其它源的軟件時容易一些，從而帶來更好的效果。但這會導致支離破碎的動態(tài)變化的攻擊面。而容器掃描工具可以自由獲得，這有助于我們理解企業(yè)構(gòu)建和使用的鏡像中所包含的內(nèi)容。

這種工具對于查找和洞察容器中的安全信息是至關重要的?；谒l(fā)現(xiàn)的信息，這些工具可以采取進一步的行動。例如，可以標記特定容器用于后續(xù)修復，增加對有漏洞的容器的監(jiān)視直到有可用的修復，隔離一個容器，或者直接向開發(fā)者或管理者發(fā)出警告。這種工具可以由開發(fā)人員使用，或者可以自動集成到發(fā)布階段。

開源容器漏洞掃描的益處

正如多數(shù)安全從業(yè)者所知道的那樣，開源的安全工具可以帶來很多好處，即使有時安全團隊知道最終可能會過渡到商業(yè)工具中，他們也樂此不疲。

開源的首要好處是在預算的討論階段可以使團隊構(gòu)建安全武庫，同時還可以展示通過開源工具的使用安全團隊所獲得的價值。在公司決定購買商業(yè)軟件之前展示公司可以從工具中獲得的價值，有助于簡化與管理人員的交流過程，因為后者有可能擔心這些工具的作用是否真實可靠。

其次，擁有強健的開源選擇意味著安全團隊不必在預算周期到來之前就可以部署安全工具。獲得預算可能會花費很長時間，有時甚至長達一年甚至更長才能獲得部署安全措施的資源。開源容器漏洞掃描工具意味著，如果公司擁有內(nèi)部的技術(shù)專家可以支持其部署，安全團隊就不必苦苦等待彌補安全差距或減輕風險。作為修復高風險漏洞的一項臨時的應急措施，或者為了緊急部署短期安全控制，開源容器漏洞掃描對于快速修補在審核時所發(fā)現(xiàn)的漏洞都非常有益。

容器掃描非常有價值，而且我們可以有多種開源選項可以完成這種掃描，其實現(xiàn)成本也非常低。如此一來，安全團隊何妨一試？