خلاصه Docker Security: اخبار ، مقالات ، جلسات

"هر بار که از نرم افزاری استفاده می کنید که ننوشته اید خودتان ، غالباً از نرم افزارهای منبع باز که در برنامه های خود استفاده می کنید ، هم به این اطمینان دارید که نرم افزاری که اضافه کرده اید همان چیزی است که فکر می کردید ، و هم قابل اعتماد است نه خصمانه. معمولاً هر دو این موارد درست است ، اما وقتی اشتباه می شوند ، مانند زمانی که صدها نفر به روزرسانی های SolarWinds را نصب کردند که حاوی کد برای حمله به زیرساخت های آنها بود ، عواقب آن جدی است. ”

امنیت در DockerCon

چندین مورد دیگر جنبه های داستان امنیتی ما در ماه مه در منوی DockerCon بود.

آلوارو مورو ، مهندس ادغام در Sysdig ، وبیناری را در زمینه بهترین شیوه های امنیتی Top Dockerfile هدایت کرد که نشان می دهد چگونه این شیوه ها برای ایجاد تصاویر به شما در جلوگیری از مسائل امنیتی و بهینه سازی ظروف کمک می کند. برنامه های کاربردی. و او راه هایی را برای اجتناب از امتیازات غیر ضروری ، کاهش سطح حمله با ساخت چند مرحله ای ، جلوگیری از نشت اطلاعات محرمانه ، تشخیص شیوه های بد و موارد دیگر را بیان کرد. و اریک اسمالینگ از اسنیک کلیدهای آسیب پذیری در ظروف Docker خود را قبل از تولید به اشتراک گذاشتند ، مانند اسکن ظروف جداگانه و گنجاندن اسکن امنیتی ظروف در مشاغل پیوسته ادغام شما. آنها همچنین به آنچه Red Ventures برای اسکن تصاویر ظرف در مقیاس بزرگ انجام می دهد ، و ادغام جدید بین Docker و Snyk برای اسکن تصاویر ظرف برای آسیب پذیری های امنیتی ، پرداختند. از آسیب پذیری ها؟ آره ، اون یکی در ارائه DockerCon خود ، My Container Image دارای 500 آسیب پذیری است ، حالا چه؟ ، مت جارویس Snyk از شما در حاشیه صحبت می کند. چگونه ریسک امنیتی را ارزیابی و اولویت بندی می کنید؟ چگونه ترمیم را شروع می کنید؟ او آنچه را که باید در نظر بگیرید و نحوه شروع کار را بیان می کند.

هنگام صحبت از نقض SolarWinds ، برندن اولری از GitLab آن و تعدادی دیگر از حملات زنجیره تامین را در صحبت خود ، به عنوان قوی ترین ضعیف ترین پیوند: ایمن سازی ، تشریح کرد. زنجیره تامین نرم افزار او اقدامات امنیتی ساده و کاربردی را که نادیده گرفته شد ، بررسی کرد و اجازه داد که حملات در وهله اول جای خود را پیدا کنند. ، بیان می کند که چگونه امنیت را می توان به راحتی در گردش کار توسعه Docker و استقرار Kubernetes برای افزایش انعطاف پذیری قرار داد و در عین حال تلاش مورد نیاز برای "امنیت" را حذف کرد. او همچنین ابزارهای منبع باز را برجسته می کند که به شما امکان می دهد نرده های امنیتی ایجاد کنید ، اطمینان حاصل کنید که از ابتدا امنیت را ایجاد کرده اید ، با اجرای برنامه ای در خطوط توسعه ، و با اجرای خودکار در زمان اجرای K8s ایمن بمانید.

در Docker ، امنیت بیشتر است بیش از یک کلمه کلیدی – این یک وسواس است. برای کسب اطلاعات بیشتر ، وبلاگ جاستین را بخوانید و جلسات ضبط شده ذکر شده در بالا را تماشا کنید. آنها هنوز در دسترس هستند و هنوز رایگان هستند.

در 16 سپتامبر به جامعه بعدی بپیوندید!

ما هیجان زده هستیم که اعلام کنیم جامعه بعدی ما تمام دستها دقیقاً در 2 ماه آینده خواهد بود ، پنجشنبه 16 سپتامبر 2021 @ 8 صبح PST/5 بعد از ظهر CET. این رویداد یک فرصت منحصر به فرد برای کارکنان Docker ، کاپیتان ها ، رهبران جامعه و جامعه وسیع Docker است که برای به روز رسانی مستقیم شرکت ، به روزرسانی محصولات ، نسخه های نمایشی ، به روزرسانی های جامعه ، فریادهای مشارکت کنندگان و البته پرسش و پاسخ زنده گرد هم بیایند. حتماً برای رویداد اینجا ثبت نام کنید!