一些使用过的工具记录。

docker scan工具

这个是docker官方工具,参考文档:
https://docs.docker.com/engine/scan/

使用方法:

命令格式
docker scan 参数 镜像名:Tag

示例
docker scan --json hello-world
更多使用技巧看官网文档哈。

我的使用记录:

docker pull image-docker.xxx.cc/base/go-runner:safe-static-1.0

docker scan --json image-docker.xxx.cc/base/go-runner:safe-1.0 >> ./go-safe.txt

报告形式

注意,使用 Docker 镜像运行漏洞扫描,需要满足如下前置条件:

  • 下载并安装 Docker 桌面;
    • 我在虚拟机内的docker运行docker scan命令也返回失败,具体原因我没研究,我换了一台物理机就搞定了,大家注意一下就行。
  • 登录Docker 中心;
    • 从 Docker 桌面菜单中,选择登录/创建 Docker ID。或者,打开终端并运行命令docker login。
  • (可选)您可以创建一个Snyk 帐户进行扫描,或使用 Snyk 提供的额外每月免费扫描与您的 Docker Hub 帐户。

dockersca工具

这个是一个python3的软件,用pip3下载使用,参考文档:
https://www.cnblogs.com/Hi-blog/p/Docker-Scanner-Tool-DockerScan.html#autoid-5-0-0

使用:
docker save -o mysql.tar mysql
dockerscan image analyze mysql.tar
更多使用方法看参考文档,

报告形式:

[root@aubin testdocker]# dockerscan image analyze go-safe-1.tar 
[ * ] Starting the analysis of docker image...
[ * ] Selected image: 'go-safe-1.tar'
[ * ] Analysis finished. Results:
[ * ] - Running user = root
// 没有输出就是没有问题。

他这个报告有点水,感觉不如docker官方那个scan扫描,但是他有个工具能看镜像的一些信息,比如提取镜像文件
dockerscan image extract ./mysql.tar ./mysql

root@localhost docker]# ls mysql     # mysql文件夹下就是典型的linux文件系统目录结构
bin  boot  dev  docker-entrypoint-initdb.d  entrypoint.sh  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var               
[root@localhost docker]# cat ./mysql/etc/passwd | head -3      # 查看/etc/passwd文件内容

主要可以查看镜像有没有一些泄露生产环境的敏感信息使用了一些危险命令

posted on 2021-12-14 20:17  Mysticbinary  阅读(612)  评论(0编辑  收藏  举报