Docker与Snyk合作提供镜像文件漏洞扫描服务

Docker宣布和与安全厂商Snyk合作强化容器的安全性,现在Snyk将会提供Docker Desktop和Docker Hub原生漏洞检测以及修复服务,让开发团队可以使用更安全的镜像文件,创建容器应用程序。

Docker提到,现代软件开发会大量使用第三方开源程序代码,以提高程序开发的效率,但是这种方法有一个缺点,便是开发者难以掌握所使用的程序代码中,是否存在安全性漏洞,因此在Docker服务,容器漏洞扫描一直以来都是用户询问度最高的功能。

虽然开发者阅读漏洞报告,可以知道哪些文件受到漏洞影响,但Snyk表示,在容器架构下,不少开发人员并没仔细查看或是重新编译容易受到攻击的相依项目,而是将选择的基础镜像文件,直接加入到工具中使用,而这个过程使得漏洞清单无用武之地。

因此Docker才与Snyk合作,提供容器开发人员修复指南,在基础镜像文件使用上加入一层防护,Snyk可以提供开发者较佳的镜像文件选项,建议选择同一系列官方镜像文件中,漏洞较少的镜像文件,并在Docker推送更新给基础镜像文件的时候,向用户发出提醒。

Snyk以node:10.4.0为例(下图),当前用户使用的基础镜像文件存在890个漏洞,并根据严重程度分开列出漏洞数量,Snyk会提供了多个较佳的替代版本供用户选择。Docker则提到,用户不用试图修复所有的漏洞,因为漏洞会持续不断地被发现,开发团队应该从风险度高的问题着手,解决真正有影响的漏洞,对于不太重要的漏洞,只要维持更新渠道畅通,定期进行修复即可。

而对于用户层的问题,Snyk将会引导用户到Dockerfile中,标记出存在特定漏洞的地方,Snyk可以显示Dockerfile的详细消息,以及完整的相依关系树,让用户能够更清楚地找出解决问题的方法。Snyk提到,这项漏洞扫描服务嵌入到开发者的工作流程中,可在维持应用程序交付速度的同时,又能够提高开发安全性