web-dev-qa-db-ja.com

セキュリティが強化されたDockerイメージの場所

メジャー/クリティカルCVEが0のPython、PHP、Node、Javaなどの一般的なプラットフォームに、セキュリティが強化された認定済みのDockerイメージを提供するサービスはありますか?.

現在、RedHatのものを使用していますが、問題は、Dockerの信頼されたレジストリCVEデータベースを介して、RedHat提供のイメージをAレベル(クリーン)でスキャンした場合でも、少なくとも50のクリティカルCVEと50を超える主要CVEがそれら;したがって、ユーザーが追加したCVEをスキャンできるベースラインを確立できず、セキュリティスキャンテストに失敗する可能性があります。

安全なイメージビルドパイプラインを確立するには、この種のサービスが必要です。これにより、ベースイメージのすべてのCVEを修正するか、すべてのCVEが修正されているベースイメージを取得したら、アプリケーションレベルのCVEを見落とさないようにします。定期的に、CVEがアプリケーションによるものであると自動的に明確に判断し、パイプラインでのイメージのプロモーションを停止できます。

6
Ijaz Ahmad Khan

Center For Internet Security(CIS)Benchmarksは、強化のための現在のゴールドスタンダードと考えています。
事前にハードニングされたイメージに注意し、悪意のある/意図的な欠陥を環境に導入していないことを確認/承認できるオープンソーススクリプトを使用して自分で強化することをお勧めします。

DockerのCISベンチマークは here にあります。

オープンソースの強化の例(たくさんあります)は here にあります。

次に、Dockerは 次のスクリプト を提供して、変更が正常に行われたことを確認します。

4
HashHazard

Docker Hubで何らかの形式の保証があるイメージは、Dockerによって維持される「公式」イメージのみです。

ただし、メンテナーがリリースしたすべてのCVEのイメージを必ずしも更新するわけではないというアプローチをメンテナーが取っていることを認識することが重要です(詳細 ここ

CVEスキャナーのクリーンな画像が必要な場合は、次のようなものをお勧めします

  1. 公式画像から始める
  2. そのイメージに基づいてコンテナを起動します
  3. パッケージマネージャーを使用して更新する
  4. 結果のコンテナを画像として保存します
  5. (オプション)画像を単一のレイヤーに押しつぶします

そして、このプロセスを必要なだけ定期的に実行して、クリーンなイメージを維持します。

AFAIKの誰も、これを超えて認定された強化画像を作成していません。

2
Rory McCune