در وبلاگ دیروز در مورد بهبود تجربه توسعه دهنده Docker از انتها به انتها ، من از اینکه چگونه ما امنیت را در توسعه تصویر ادغام می کنیم و همچنین اعلام کردم اسکن آسیب پذیری تصاویر منتقل شده به مرکز را خوشحالم. این نسخه یک گام در همکاری ما با شریک زندگی ما Snyk است که در آن ما فناوری تست امنیت آنها را در سیستم عامل Docker ادغام می کنیم. امروز ، من می خواهم اطلاعیه های خود را گسترش دهم و به شما نشان دهم که چگونه می توانید با اسکن تصویر با Snyk شروع کنید.
در این وبلاگ به شما نشان خواهم داد که چرا اسکن تصاویر Hub مهم است ، چگونه می توان صفحات Hub را برای ایجاد اسکن های آسیب پذیری Snyk پیکربندی کرد و چگونه اسکن های خود را اجرا کرده و نتایج را می فهمید. من همچنین پیشنهاداتی را ارائه می دهم که شامل اسکن آسیب پذیری در روند کار توسعه شما است تا در هر مرحله از استقرار برنامه خود ، ایستگاه های بازرسی امنیتی منظم داشته باشید.
مدتی است که اسکنرهای آسیب پذیری نرم افزار برای شناسایی آسیب پذیری هایی که هکرها برای بهره برداری از نرم افزار استفاده می کنند وجود دارد. تیم های امنیتی به طور سنتی اسکنرها را پس از اینکه توسعه دهندگان فکر می کردند کارشان تمام شده است ، اجرا می کنند و اغلب کدها را برای توسعه نقاط ضعف شناخته شده به توسعه دهندگان ارسال می کنند. در الگوی امروز "تغییر به چپ" ، اسکن زودتر از دوره های توسعه و CI اعمال می شود اما اکثر سازمان ها برای اتصال عملکردهای اسکن به ابزار CI مجبورند اتوماسیون خود را بسازند. نسخه دیروز این معادله را تغییر می دهد و اسکن خودکار ساخته شده را به عنوان یک مرحله جدایی ناپذیر در چرخه CI فراهم می کند.
اکنون شما تصمیم می گیرید که هر بار که تصویر را در آن نسخه ی نمایشی فشار می دهید ، اسکن آسیب پذیری را برای پیکربندی کدام repos پیکربندی کنید و وقتی اسکن به پایان رسید ، می توانید نتایج اسکن را در حساب Hub خود مشاهده کنید. داده های آسیب پذیری در Hub در چندین لایه مختلف سازماندهی شده است: خلاصه شدت آسیب پذیری ، لیست تمام آسیب پذیری ها و اطلاعات دقیق در مورد یک نقص امنیتی خاص. عملکرد اسکن برای کاربران Pro و Team در دسترس است ، و یک روش تأیید اعتبار ساده برای هر به روزرسانی تصویر ایجاد می کند.
How It Works
مرحله 1 – فعال کردن عملکردهای اسکن مجدد
فعال کردن اسکن مجدد یک فرآیند ساده و تنها با یک کلیک است ، اما تنظیمات پیش فرض برای اسکن غیرفعال است ، بنابراین مطمئن شوید که آن را روشن کنید. ترکیب اسکن در چرخه های همکاری تیمی و مراحل ساخت برنامه. شما می توانید این فرآیندها را در مقیاس کوچکتر اتخاذ کرده و به مرور زمان آنها را در بقیه سازمان خود گسترش دهید. برعکس ، اگر تصمیم بگیرید که repo که اسکن کرده اید دیگر بخشی فعال از توسعه شما نیست ، می توانید از همان گزینه تنها کلیک برای غیرفعال کردن اسکن استفاده کنید.
مرحله 2 – اسکن های خود را اجرا کنید
هنگامی که اسکن را فعال می کنید ، هر بار که یک تصویر برچسب زده شده را به آن repo فشار می دهید ، به طور خودکار اسکن را آغاز می کنید.
مرحله 3 – مشاهده نتایج
پس از اتمام اسکن آسیب پذیری ، می توانید برای مشاهده نتایج اسکن به صفحه repo در Hub بروید. برگه عمومی صفحه Hub Repo شامل خلاصه نتایج برای همه اسکن های تصویر repo است که تعداد آسیب پذیری های بالا ، متوسط و پایین مشخص شده در هر اسکن را نشان می دهد.
با کلیک بر روی بخش آسیب پذیری های یک برچسب خاص ، شما را به برگه آسیب پذیری آن برچسب می رساند ، که تعداد کل آسیب پذیری های شناسایی شده در هنگام اسکن را نشان می دهد. تب آسیب پذیری ها شامل خلاصه ای از ویژگی های اسکن است و لیست کامل آسیب پذیری های اسکن را به شما نشان می دهد.
لیست آسیب پذیری سازمان یافته است تا در ابتدا مهمترین آسیب پذیری ها را مشاهده کنید. مسائل با شدت بالاتر نسبت به موارد پایین تر در اولویت قرار دارند و آسیب پذیری های شدت یکسان به ترتیب نزولی برای سیستم امتیازدهی آسیب پذیری مشترک (CVSS) سازمان یافته اند. امتیازات CVSS یک استاندارد منتشر شده برای اختصاص مقدار عددی به شدت آسیب پذیری های نرم افزار است. لیست آسیب پذیری همچنین شامل آسیب پذیری ها و مواجهه های مشترک (CVE) است که شماره شناسایی آسیب پذیری های امنیت سایبری شناخته شده عمومی و همچنین نام و نسخه بسته حاوی این آسیب پذیری است. در صورت موجود بودن ، ستون "ثابت" شامل نسخه بالاتر همان بسته است که آسیب پذیری آن را برطرف کرده است. این قسمت بسیار مهمی است که به شما راهنمایی روشنی در مورد نحوه بازسازی تصویر بدون آسیب پذیری می دهد.
در کنار ستون "ثابت در" یک پیوند بازشو به یک صفحه در وب سایت Snyk وجود دارد ، که اطلاعات دقیق مربوط به آن آسیب پذیری خاص را ارائه می دهد.
پیکان کوچکی که در کنار رتبه بندی شدت قرار دارد نشان می دهد که این آسیب پذیری دارای وابستگی ها با کلیک بر روی این پیکان ، کادر آسیب پذیری گسترش یافته و این وابستگی ها را نمایش می دهد:
بیشتر بیاموزید و خودتان امتحان کنید
اسکن توپی در حال حاضر موجود است. لطفاً برای کسب اطلاعات بیشتر در مورد چگونگی شروع کار ، پیوند بخش Docker Doc را در زیر بررسی کنید و به ما بازخورد دهید:
https://docs.docker.com/docker-hub/vulnerability-scanning/
برای کسب اطلاعات بیشتر از کارشناسان در مورد استفاده بیشتر از اسکن آسیب پذیری Docker Hub ، لطفاً برای پیوستن به پیتر مک کی و جیم آرمسترانگ از Snyk در یک وبینار مشترک در روز چهارشنبه ، 15 اکتبر برنامه ریزی کنید. اکنون ثبت نام کنید!
