Zum Hauptinhalt springen

Sicherheitsscans

Viele der Container-Bilder enthalten Sicherheitsprobleme. Wenn du Bilder aus öffentlichen Registries verwenden möchtest, solltest du in der Lage sein, sie zu scannen, um zu überprüfen, ob das Bild sauber ist. Es gibt einige Tools auf dem Markt, die dir helfen können, diese Bilder zu überprüfen. In diesem Lab wirst du lernen, wie man ein Bild mit dem Tool Trivy scannt.

Trivy

Installiere Trivy auf deinem Computer, indem du die Anweisungen auf der offiziellen Trivy-Website folgst.

Sobald Trivy installiert ist, kannst du ein Bild scannen, indem du den folgenden Befehl eingibst:

trivy image <image-name>

Das Ergebnis sollte ähnlich wie folgt aussehen:

2024-02-09T15:27:06.080+0100    INFO    Need to update DB
2024-02-09T15:27:06.080+0100    INFO    DB Repository: ghcr.io/aquasecurity/trivy-db
2024-02-09T15:27:06.080+0100    INFO    Downloading DB...
42.79 MiB / 42.79 MiB [----------------------------------------------------------------------------------------] 100.00% 18.23 MiB p/s 2.5s
2024-02-09T15:27:09.741+0100    INFO    Vulnerability scanning is enabled
2024-02-09T15:27:09.741+0100    INFO    Secret scanning is enabled
2024-02-09T15:27:09.741+0100    INFO    If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2024-02-09T15:27:09.741+0100    INFO    Please see also https://aquasecurity.github.io/trivy/v0.49/docs/scanner/secret/#recommendation for faster secret detection
2024-02-09T15:27:11.293+0100    INFO    Detected OS: alpine
2024-02-09T15:27:11.293+0100    INFO    Detecting Alpine vulnerabilities...
2024-02-09T15:27:11.293+0100    INFO    Number of language-specific files: 0
2024-02-09T15:27:11.293+0100    WARN    This OS version is no longer supported by the distribution: alpine 3.10.9
2024-02-09T15:27:11.293+0100    WARN    The vulnerability detection may be insufficient because security updates are not provided

alpine:3.10 (alpine 3.10.9)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1)

┌───────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│  Library  │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                            Title                             │
├───────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ apk-tools │ CVE-2021-36159 │ CRITICAL │ fixed  │ 2.10.6-r0         │ 2.10.7-r0     │ libfetch: an out of boundary read while libfetch uses strtol │
│           │                │          │        │                   │               │ to parse...                                                  │
│           │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2021-36159                   │
└───────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘