จะติดตั้งและใช้งานเครื่องสแกนเนอร์ Anchore Container Image Security ได้อย่างไร?

เครื่องยนต์ Anchore เป็นเครื่องมือโอเพ่นซอร์สสำหรับการสแกนและวิเคราะห์อิมเมจคอนเทนเนอร์สำหรับช่องโหว่ด้านความปลอดภัยและปัญหานโยบาย สามารถใช้เป็นอิมเมจคอนเทนเนอร์ Docker ที่สามารถเรียกใช้ภายในแพลตฟอร์ม orchestration หรือเป็นการติดตั้งแบบสแตนด์อโลน.


นี่เป็นเครื่องมือรักษาความปลอดภัยที่มีประโยชน์ที่ช่วยให้นักพัฒนาและทีมงานควบคุมคุณภาพสามารถทดสอบระบุและจัดการกับช่องโหว่ในรูปภาพที่ใช้ในการสร้างแอปพลิเคชัน.

ในบทความนี้เราจะดูวิธีการติดตั้งและใช้สแกนเนอร์จุดอ่อนภาพ Anchore โดยทั่วไปมีวิธีการใช้งานหลายวิธี อย่างไรก็ตามฉันจะมุ่งเน้นไปที่สองต่อไปนี้,

  • ใช้ AnchoreCLI ตัวเลือกบรรทัดคำสั่ง
  • อิง GUI เครื่องสแกนภาพ Jenkins Anchore Container เสียบเข้าไป.

เราจะแสดงวิธีการติดตั้งกำหนดค่าและสตาร์ทเครื่องยนต์กำหนดค่าและใช้เครื่องมือบรรทัดคำสั่ง AnchoreCLI เช่นเดียวกับปลั๊กอินเจนกินส์ สำหรับสองวิธีแต่ละวิธีคุณจะได้เรียนรู้วิธีเพิ่มภาพที่จะสแกนทำการสแกนและดูรายงาน.

ในตอนท้ายของบทความคุณจะได้เรียนรู้สามสิ่งต่อไปนี้.

  • การติดตั้งและกำหนดค่า เครื่องยนต์ Anchore
  • การติดตั้งการกำหนดค่าและการใช้ AnchoreCLI
  • การกำหนดค่าและการใช้ ปลั๊กอินสแกนเนอร์ Anchore Container ใน เจนกินส์

Contents

ข้อกำหนดเบื้องต้น

ต่อไปนี้เป็นข้อกำหนดสำหรับบทช่วยสอนนี้

  • เครื่องท้องถิ่นหรือเสมือนกับ Ubuntu 18.04 และต่อไปนี้;
  • นักเทียบท่า
  • เทียบท่า-เขียน
  • Jenkins ติดตั้งและใช้งาน
  • ผู้ใช้ sudo

ขั้นตอนที่ 1: – ตั้งค่าไดเรกทอรีทำงานและดาวน์โหลดไฟล์การกำหนดค่า.

สร้างไดเรกทอรีที่ใช้งานได้สำหรับไฟล์ Anchore ของคุณ ภายในไดเรกทอรีนั้นคุณจะสร้างสองไดเรกทอรีย่อยหนึ่งรายการสำหรับการกำหนดค่าและอีกไดเรกทอรีหนึ่งสำหรับฐานข้อมูล.

สร้างโฮมไดเรกทอรีสำหรับไฟล์ Anchore

mkdir anchore

ไปที่ไดเร็กทอรีใหม่และสร้างไดเร็กทอรีย่อยการกำหนดค่าและฐานข้อมูล.

สมอซีดี

mkdir config

mkdir db

ดาวน์โหลดไฟล์การกำหนดค่า

เมื่อไดเรกทอรีพร้อมแล้วเราจะดาวน์โหลดไฟล์กำหนดค่าสองไฟล์ (docker-compose.yaml และ config.yaml) จากโครงการ Github.

ในการดาวน์โหลด docker-compose.yaml

ไปที่โฮมไดเร็กทอรีของสมอและใช้คำสั่ง

https://raw.githubusercontent.com/anchore/anchore-engine/master/scripts/docker-compose/docker-compose.yaml > นักเทียบท่า-compose.yaml

จากนั้นดาวน์โหลด config.yaml ไปยังไดเรกทอรี ~ / anchore / config

https://raw.githubusercontent.com/anchore/anchore-engine/master/scripts/docker-compose/config.yaml -o ~ / anchore / config / config.yaml

ไฟล์ config.yaml เป็นไฟล์กำหนดค่าที่มีการตั้งค่าพื้นฐานที่แอปเอนจิน anchore ต้องการให้เรียกใช้ มันมีหลายพารามิเตอร์รวมถึงค่าเริ่มต้นระดับการบันทึกพอร์ตฟังชื่อผู้ใช้รหัสผ่านและอื่น ๆ ที่คุณสามารถปรับให้ตรงกับความต้องการเฉพาะ.

เป็นการรักษาความปลอดภัยที่ดีในการเปลี่ยนรหัสผ่านและคุณสามารถทำได้โดยแก้ไขไฟล์ config.yaml อย่างไรก็ตามในบทช่วยสอนนี้เราจะใช้การตั้งค่าเริ่มต้น.

หากต้องการดำเนินการต่อด้วยข้อมูลรับรองเริ่มต้น (ชื่อผู้ใช้ – ผู้ดูแลระบบและรหัสผ่าน – foobar) ให้ดำเนินการต่อไป ขั้นตอนที่ 2.

การเปลี่ยนข้อมูลประจำตัวของเครื่องยนต์ Anchore (ไม่บังคับ)

จากไดเร็กทอรี anchore ให้ใช้คำสั่ง

nano ~ / anchore / config / config.yaml

ค้นหาชื่อผู้ใช้ (ผู้ดูแลระบบ) และรหัสผ่าน (foobar) และเปลี่ยนเป็นค่าที่คุณต้องการ.

กด CTRL + X, แล้วก็ Y เพื่อบันทึกและออก.

เมื่อมีไดเร็กทอรีการทำงานและไฟล์กำหนดค่าระบบจะพร้อมสำหรับการติดตั้ง Anchore Engine.

ขั้นตอนที่ 2: – ติดตั้งและเริ่ม Anchore Engine

คุณจะใช้ Docker compose เพื่อติดตั้งและเริ่ม Anchore Engine และฐานข้อมูล.

จากไดเร็กทอรีโฮมของ anchore ให้รัน.

นักเทียบท่าเขียนขึ้น -d

สิ่งนี้จะดึงอิมเมจ Anchore โดยอัตโนมัติจากนั้นสร้างเอนจิน Anchore และฐานข้อมูลในโฮมและ ~ / anchore / ฐานข้อมูล / ไดเรกทอรีตามลำดับ เมื่อเสร็จสิ้นคำสั่งจะเริ่มเอนจิน Anchore.

หลังจากติดตั้งและเริ่มเครื่องยนต์ anchore เรียบร้อยแล้วคุณสามารถสแกนภาพโดยใช้บรรทัดคำสั่ง anchore AnchoreCLI. อย่างไรก็ตามคุณต้องติดตั้งยูทิลิตีบรรทัดคำสั่ง AnchoreCLI ก่อนดังที่แสดงด้านล่าง.

ติดตั้งกำหนดค่า AnchoreCLI

ในขั้นตอนนี้คุณจะได้เรียนรู้วิธีการติดตั้งและกำหนดค่า AnchoreCLI เครื่องมือบรรทัดคำสั่ง.

ขั้นตอนที่ 3: – ติดตั้ง AnchoreCLI

ในบทช่วยสอนนี้เราจะติดตั้งยูทิลิตี้ python-pip ก่อนซึ่งจะใช้ในการติดตั้ง AnchoreCLI จากแหล่งที่มา.

เพื่อติดตั้ง Python pip เพื่อไปยังโฮมไดเร็กทอรีของ Anchore และรัน

sudo apt-get update
sudo apt-get install python-pip
sudo pip ติดตั้ง – อัปเกรด setuptools

ติดตั้ง AnchoreCLI ใช้ python-pip

pip การติดตั้ง anchorecli

คำสั่งนี้จะดาวน์โหลดและติดตั้งไฟล์สำหรับ AnchoreCLI หลังจากการติดตั้งตอนนี้เราต้องแหล่งไฟล์. profile ของเราเพื่อใช้คำสั่ง

แหล่งที่มา ~ / .profile

หากต้องการตรวจสอบว่าการติดตั้งสำเร็จหรือไม่และเวอร์ชันของ Anchorecli ให้ใช้คำสั่ง

anchore-cli – รุ่น

ในการตรวจสอบสถานะระบบ anchore-CLI ให้ใช้คำสั่ง

anchore-cli –url http: // localhost: 8228 / v1 – ผู้ดูแลระบบ u – สถานะของระบบ

โปรดทราบว่าคุณจะต้องผ่าน URL เครื่องยนต์ Anchore ชื่อผู้ใช้และรหัสผ่าน.

กำหนดพารามิเตอร์ Anchore Engine

ตามค่าเริ่มต้น AnchoreCLI จะพยายามเข้าถึง Anchore Engine โดยไม่มีการตรวจสอบสิทธิ์ อย่างไรก็ตามสิ่งนี้จะไม่ทำงานและคุณต้องให้ข้อมูลประจำตัวของ Anchore Engine กับทุกคำสั่ง.

สิ่งนี้เกี่ยวข้องกับการส่งพารามิเตอร์ชื่อผู้ใช้รหัสผ่านและ URL ด้วยทุกคำสั่ง Anchore CLI แทนที่จะให้สิ่งเหล่านี้ทุกครั้งทางเลือกคือกำหนดตัวแปรสภาพแวดล้อมในรูปแบบต่อไปนี้.

หากต้องการส่ง URL ให้เรียกใช้

ANCHORE_CLI_URL = http: // localhost: 8228 / v1

สิ่งนี้กำหนด Anchore Engine URL พร้อมกับพอร์ต 8228 ซึ่งใช้.

ตั้งชื่อผู้ใช้และรหัสผ่านโดยใช้ค่าเริ่มต้น มิฉะนั้นให้แทนที่ด้วยค่าใหม่ที่คุณตั้งไว้ ขั้นตอนที่ 1.

ANCHORE_CLI_USER = ผู้ดูแลระบบ

ANCHORE_CLI_PASS = foobar

ด้านบนตั้งค่าพารามิเตอร์สำหรับเชลล์ปัจจุบันเท่านั้น ในการตั้งค่าเชลล์ปัจจุบันและกระบวนการอื่น ๆ ที่เริ่มต้นจากนั้นเราใช้คำสั่งส่งออก

ส่งออก ANCHORE_CLI_URL

ส่งออก ANCHORE_CLI_USER

ส่งออก ANCHORE_CLI_PASS

เมื่อกำหนดพารามิเตอร์แล้วการตั้งค่า AchoreCLI จะเสร็จสมบูรณ์และคุณพร้อมที่จะสแกนภาพ.

ขั้นตอนที่ 4: – การเพิ่มและวิเคราะห์ภาพ

ตอนนี้เราได้เปิดใช้ Anchore Engine และ CLI แล้วคุณจะได้เรียนรู้วิธีการเพิ่มและวิเคราะห์รูปภาพสำหรับปัญหาด้านความปลอดภัย ในบทช่วยสอนนี้เราจะวิเคราะห์ภาพสองภาพ -openjdk: 8-jre-alpine พร้อมช่องโหว่และ debian: ล่าสุดโดยไม่ต้อง .

กำลังวิเคราะห์ภาพ

ในการดำเนินการต่อเราต้องเพิ่มภาพลงในเอ็นจิ้นก่อน เพื่อเพิ่มภาพ

ภาพ anchore-cli เพิ่ม openjdk: 8-jre-alpine

เพิ่มเดเบียนภาพที่มีความเสถียร: ล่าสุด

ภาพ anchore-cli เพิ่ม docker.io/library/debian:latest

เพิ่มรูปภาพเพิ่มเติม

ภาพ anchore-cli เพิ่ม openjdk: 10-jdk

ภาพ anchore-cli เพิ่ม openjdk: 11-jdk

หลังจากเพิ่มรูปภาพไปที่ Anchore Engine การวิเคราะห์จะเริ่มทันที หากมีหลายอิมเมจที่โหลดรูปภาพเหล่านั้นจะถูกวางในคิวและวิเคราะห์ทีละภาพ คุณสามารถตรวจสอบความคืบหน้าและดูรายการภาพที่โหลดพร้อมกับสถานะการวิเคราะห์.

หากต้องการดูรายการให้เรียกใช้คำสั่ง

รายการภาพ anchore-cli

เอาท์พุต

[email protected]: ~ / anchore รายการภาพ $ anchore-cli
สถานะการวิเคราะห์ภาพแท็กแบบเต็ม
docker.io/openjdk:10-jdk sha256: 923d074ef1f4f0dceef68d9bad8be19c918d9ca8180a26b037e00576f24c2cb4analyzed
docker.io/openjdk:11-jdk sha256: 9923c0853475007397ed5c91438c12262476d99372d4cd4d7d44d05e9af5c077analyzed
docker.io/openjdk:8-jre-alpine sha256: b2ad93b079b1495488cc01375de799c402d45086015a120c105ea00e1be0fd52analyzed

ขึ้นอยู่กับจำนวนภาพขนาดและเวลาที่ผ่านไปหลังจากเพิ่มคุณจะได้รับการวิเคราะห์สำหรับภาพที่สมบูรณ์วิเคราะห์สำหรับภาพที่กำลังดำเนินการและไม่วิเคราะห์สำหรับภาพที่อยู่ในคิว.

ขั้นตอนที่ 5: – ดึงและดูผลการวิเคราะห์

เมื่อการวิเคราะห์เสร็จสมบูรณ์คุณสามารถตรวจสอบผลลัพธ์และดูผลลัพธ์สำหรับการสแกนช่องโหว่การตรวจสอบนโยบายและปัญหาอื่น ๆ ที่เอ็นจิ้นระบุ.

เพื่อตรวจสอบผลลัพธ์สำหรับการสแกนช่องโหว่ในรูปภาพที่มีช่องโหว่ openjdk: 8-jre-alpine

วิ่ง

ภาพ anchore-cli คำบรรยาย openjdk: 8-jre-alpine ทั้งหมด

เอาท์พุต

[email protected]: ~ / anchore $ anchore-cli image vuln openjdk: 8-jre-alpine ทั้งหมด
ช่องโหว่ความรุนแรง IDPackage Fix CVE อ้างอิง URL ช่องโหว่
CVE-2018-1000654 libtasn1-4.13-r0 สูง 4.14-r0 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000654
CVE-2019-12900 libbz2-1.0.6-r6 สูง 1.0.6-r7 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12900
CVE-2019-14697 musl-1.1.20-r4 สูง 1.1.20-r5 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14697
CVE-2019-14697 musl-utils-1.1.20-r4 สูง 1.1.20-r5 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14697
CVE-2019-8457 sqlite-libs-3.26.0-r3 สูง 3.28.0-r0 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8457
CVE-2018-14498 libjpeg-turbo-1.5.3-r4 Medium 1.5.3-r5 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14498

รายงานแสดงตัวระบุ CVE, แพ็กเกจที่มีช่องโหว่, ความรุนแรงและระบุว่ามีการแก้ไขหรือไม่ สำหรับภาพของเรา openjdk: 8-jre-alpine การวิเคราะห์แสดงให้เห็นว่ามีช่องโหว่สูงห้าช่องโหว่และมีช่องโหว่จำนวนปานกลางและช่องโหว่เล็กน้อย (บางส่วนไม่แสดงด้านบน).

ในการดูผลลัพธ์ช่องโหว่สำหรับเดเบียนภาพที่เสถียร: ล่าสุด

เรียกใช้คำสั่ง

anchore-cli image vuln docker.io/library/debian:latest ทั้งหมด

เอาท์พุต

[email protected]: ~ / anchore $ anchore-cli image vuln debian: ล่าสุดทั้งหมด
ช่องโหว่ IDPackage Severity Fix URL CVS RefsVulnerability
CVE-2005-2541 tar-1.30 + dfsg-6 เล็กน้อยไม่มีเลย https://security-tracker.debian.org/tracker/CVE-2005-2541
CVE-2019-1010022libc-bin-2.28-10 เล็กน้อยไม่มีเลย https://security-tracker.debian.org/tracker/CVE-2019-1010022
CVE-2019-1010022libc6-2.28-10 เล็กน้อยไม่มี https://security-tracker.debian.org/tracker/CVE-2019-1010022
CVE-2019-1010023libc-bin-2.28-10 เล็กน้อยไม่มีเลย https://security-tracker.debian.org/tracker/CVE-2019-1010023
CVE-2019-1010023libc6-2.28-10 เล็กน้อยไม่มีเลย https://security-tracker.debian.org/tracker/CVE-2019-1010023
CVE-2019-1010024libc-bin-2.28-10 เล็กน้อยไม่มีเลย https://security-tracker.debian.org/tracker/CVE-2019-1010024

ดังที่เห็นได้จากรายงานเดเบียนภาพ: ล่าสุดมีช่องโหว่เล็กน้อยและไม่มีการแก้ไข.

หากต้องการดูผลลัพธ์การประเมินนโยบายสำหรับอิมเมจที่ไม่เสถียร openjdk: 8-jre-alpine

วิ่ง

anchore-cli ประเมินตรวจสอบ openjdk: 8-jre-alpine

ผลลัพธ์ – ผลลัพธ์แสดงว่าล้มเหลว

[email protected]: ~ / anchore $ anchore-cli ประเมินตรวจสอบ openjdk: 8-jre-alpine
ภาพสรุป: sha256: b2ad93b079b1495488cc01375de799c402d45086015a120c105ea00e1be0fd52
แท็กแบบเต็ม: docker.io/openjdk:8-jre-alpine
สถานะ: ล้มเหลว
Eval ล่าสุด: 2019-09-20T12: 03: 32Z
รหัสนโยบาย: 2c53a13c-1765-11e8-82ef-23527761d060

อิมเมจ openjdk: 8-jre-alpine ละเมิด ID นโยบายที่ระบุ (ID นโยบาย: 2c53a13c-1765-11e8-82ef-23527761d060) ดังนั้นจึงส่งคืนสถานะ Fail.

ตอนนี้เราได้เห็นแล้วว่า Anchore Engine ตอบสนองอย่างไรหลังจากตรวจพบการละเมิดนโยบายถึงเวลาที่ต้องตรวจสอบว่ามันทำงานอย่างไรกับเดเบียนภาพที่เสถียรของเรา: ล่าสุด.

การตรวจสอบนโยบายสำหรับเดเบียน: ภาพที่มีเสถียรภาพล่าสุด

anchore-cli ประเมิน check docker.io/library/debian:latest –detail

[email protected]: ~ / anchore $ anchore-cli ประเมิน check docker.io/library/debian:latest –detail
ภาพย่อย: sha256: d3351d5bb795302c8207de4db9e0b6eb23bcbfd9cae5a90b89ca01f49d0f792d
แท็กแบบเต็ม: docker.io/library/debian:latest
รหัสภาพ: c2c03a296d2329a4f3ab72a7bf38b78a8a80108204d326b0139d6af700e152d1
สถานะ: ผ่าน
Eval ล่าสุด: 2019-09-20T12: 00: 06Z
รหัสนโยบาย: 2c53a13c-1765-11e8-82ef-23527761d060
การกระทำขั้นสุดท้าย: เตือน
เหตุผลการดำเนินการขั้นสุดท้าย: policy_evaluation
Trigger Gate สถานะรายละเอียด
ไม่พบคำสั่ง dockerfileinstructionDockerfile ‘HEALTHCHECK’, เงื่อนไขการจับคู่ ‘not_exists’ checkwarn

ผลลัพธ์แสดงสถานะ Pass และ Final Action of Warn เนื่องจากข้อมูลไม่ตรงกันกับคำสั่ง Dockerfile สิ่งนี้ไม่ได้ล้มเหลว แต่อาจต้องตรวจสอบและแก้ไขปัญหา.

การกำหนดค่าและการใช้ปลั๊กอินสแกนเนอร์ Anchore Container Image Scanner ใน Jenkins

ขั้นตอนที่ 6: – เพิ่มและกำหนดค่าปลั๊กอิน Anchore Container Image Scanner ในเจนกินส์

ในขั้นตอนนี้เราจะรวม Anchor Engine เข้ากับเซิร์ฟเวอร์ Jenkins Jenkins เป็นเซิร์ฟเวอร์โอเพนซอร์ซที่ใช้จาวาสำหรับการทำงานซ้ำ ๆ ในวงจรการพัฒนาซอฟต์แวร์โดยอัตโนมัติ.

ปลั๊กอินแองเคอร์ มีอยู่ใน Jenkins แต่ไม่ได้ติดตั้งตามค่าเริ่มต้น.

เข้าสู่ระบบ Jenkins โดยใช้เว็บเบราว์เซอร์

http: // your_server_ip_or_domain: 8080

ป้อนชื่อผู้ใช้และรหัสผ่าน.

ไปที่ เมนูเจนกินส์

ค้นหาและเลือก จัดการเจนกินส์

ไปที่ จัดการปลั๊กอิน

บน แท็บที่มีอยู่, เลื่อนลงไปที่ สร้างเครื่องมือ และเลือก เครื่องสแกนภาพ Anchore Container

คลิก ติดตั้งโดยไม่ต้องรีสตาร์ท ตัวเลือก.

หลังจากติดตั้งสำเร็จแล้ว ปลั๊กอิน Anchore Container Image Scanner, ขั้นตอนต่อไปคือการกำหนดค่าข้อมูลรับรอง.

ไปที่ เจนกินส์ เมนูและเลือก จัดการเจนกินส์ แถบ.

เปิด กำหนดค่าระบบ.

ค้นหา กำหนดค่าจุดยึด.

เลือก โหมดเครื่องยนต์

เข้าสู่ เครื่องยนต์ Anchore รายละเอียด (URL เอ็นจินชื่อผู้ใช้และรหัสผ่านและพอร์ต 8228 – พอร์ตเริ่มต้นสำหรับเอ็นจิ้น).

URL – http: // your_server_IP: 8228 / v1

ป้อนชื่อผู้ใช้ = admin
ป้อนรหัสผ่าน = foobar หรือรหัสผ่านใหม่หากคุณเปลี่ยน ขั้นตอนที่ 3 (ข้างบน)

คลิก บันทึก

กำหนดค่าปลั๊กอิน Anchore

ขั้นตอนที่ 8: – การเพิ่มและการสแกนภาพ

คลิก ไอเท็มใหม่ ที่แผงควบคุมเจนกินส์ที่เมนูด้านบนซ้าย

จะเป็นการเปิดหน้าจอที่มีหลายตัวเลือก.
พิมพ์ชื่อที่ต้องการสำหรับโครงการทดสอบของคุณในฟิลด์ป้อนชื่อรายการ.

ในโครงการนี้เราจะใช้งาน Pipeline build.
เลือก ท่อส่ง และคลิก ตกลง.

ตอนนี้คุณพร้อมที่จะสแกนภาพแล้ว ในกรณีของเราเราจะใช้รูปภาพในรีจิสทรีนักเทียบท่าที่สามารถเข้าถึงได้โดย เครื่องยนต์ Anchore.

ในการทำเช่นนี้คุณจะเพิ่มสคริปต์ไปป์ไลน์ที่จะระบุรูปภาพที่จะสแกน.

ขั้นตอนที่ 9: – เพิ่มสคริปต์ท่อส่ง

เลื่อนลงไปที่ส่วน Pipeline และเพิ่มสคริปต์เพื่อระบุภาพที่จะสแกน เราจะเริ่มต้นด้วย openjdk: 8-jre-alpine ซึ่งมีช่องโหว่บางอย่าง.

โหนด {
def imageLine = ‘openjdk: 8-jre-alpine’`
ไฟล์ writeFile: ‘anchore_images’, text: imageLine`
ชื่อแองเคอร์: ‘anchore_images’`
}

คลิก บันทึก

ขั้นตอนที่ 10: – รันบิลด์และตรวจสอบรายงานการสแกน

จากเมนูเจนกินส์

คลิก สร้างทันที

สิ่งนี้จะเริ่มต้นกระบวนการสร้างซึ่งใช้เวลาสองสามนาทีขึ้นอยู่กับขนาดรูปภาพ หลังจากเสร็จสิ้นตัวเลขและปุ่มสีจะปรากฏใต้ประวัติการสร้าง สิ่งนี้จะมีสีแดงสำหรับ Fail หรือ Blue for Pass การคลิกปุ่มจะแสดงผลลัพธ์มากขึ้น.

ขั้นตอนที่ 11: – ตรวจสอบผลลัพธ์

คลิกที่ สร้าง # เพื่อดูรายละเอียดเพิ่มเติม
นี่เป็นการเปิด เอาต์พุตคอนโซล หน้าต่างแสดงความล้มเหลว – รายงานจุดยึด (FAIL)

รายงานโดยละเอียดระบุว่าการวิเคราะห์นั้นเป็น Fail หรือ Pass และมีรายงานหลายฉบับที่แสดงถึงช่องโหว่คำเตือนและอื่น ๆ ตามการกำหนดค่า โดยค่าเริ่มต้นปลั๊กอินมีการกำหนดค่าให้ล้มเหลวในการสร้าง (หยุด) เมื่อใดก็ตามที่มีช่องโหว่ ด้านล่างนี้เป็นภาพหน้าจอสำหรับรายงานนโยบายและความปลอดภัย.

สรุปการประเมินนโยบายของ Anchore

ด้านล่างนี้เป็นภาพหน้าจอของผลการรักษาความปลอดภัยสำหรับภาพที่มีช่องโหว่.

รายการช่องโหว่และความเสี่ยงทั่วไป (CVE)

หากเราสแกนรูปภาพที่เสถียรเดเบียน: ล่าสุดโดยไม่มีช่องโหว่เราจะได้ผลลัพธ์ด้านล่าง.

สรุปการประเมินนโยบายของ Anchore (Pass)

ช่องรายการและช่องโหว่ (CVE) ทั่วไป 

ข้อสรุป

Anchore Container Image Scanner เป็นเครื่องมือวิเคราะห์ภาพที่ทรงพลังซึ่งระบุถึงช่องโหว่และประเด็นนโยบายที่หลากหลายในอิมเมจ Docker มีตัวเลือกการกำหนดเองมากมายและสามารถกำหนดค่าเกี่ยวกับวิธีการตอบสนองเมื่อตรวจพบปัญหาระหว่างการวิเคราะห์ หนึ่งในนั้นคือการทำลายการสร้างเมื่อเครื่องยนต์พบช่องโหว่ที่รุนแรง.

หากคุณต้องการสร้างอาชีพของคุณใน DevSecOps ลองดูสิ่งนี้ แน่นอน Udemy.

Tags:

  • โอเพ่นซอร์ส

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map