我的错:Docker的安全工具和黑鸭的安全检查器是不一样的

深入调查是有好处的，但我没有。我道歉。一些天,我犯错了。继续教育说黑鸭软件的安全检查员和Docker云安全扫描工具不一样。检查漏洞与CVE数据库 - 在寻求匹配膨胀的Docker容器问题 - 基于漏洞的严重性和找到的数字的速率容器。

这两个工具(还有其他一些工具)的设计目的是加载和解析Docker映像，并对cve运行清单。这就是事情的主要分歧。还要注意，还有其他可用的容器安全工具，我将在后续的博客文章中介绍它们。

这些都仍然是挑逗。你正在审判。

黑鸭软件安全检查程序

1. 报名．
2. 提交小于100MB的Docker容器，或者直接从Docker存储库或Red Hat存储库中提取一个。其他来源必须由您先下载，然后提交。
3. 喝杯咖啡或散会儿步。
4. 收到一封电子邮件，扫描完成，然后查看电子邮件中链接的报告。
5. 深入潜入报告。（你可以下载其中一个报告我跑去看他们的报告。)
6. 去掉报告中那些与容器的合理部署无关的链接(zero, nada, SFA, zippo)。
7. 免费订阅三次，然后决定是否订阅。

码头工人安全过程

1. 报名参加码头工人云．
2. 启动您的第一个存储库。虽然它是免费的，但你需要订阅。
3. 选择和订阅在免费层上方安全检查。一定要在安全检查的方框里打勾。
4. 将所需的容器放入存储库中。显然，大小并不重要。
5. 为报告的电子邮件等待24-48小时，或者在您监视存储库时查找它，因为报告可用。
6. 在2016年8月1日之前，你可以免费使用这项服务。

黑鸭软件安全检查器上第申请/缺点

好处:

1. 使用安全检查器支持的任何相关容器源(当您最终订阅了安全检查器所基于的Black Duck Security Hub时)，包括Red Hat Atomic/OpenShift、IBM AppScan、Jenkins、TeamCity和其他构建/CI解决方案。
2. 你会在几个小时或更少的时间内得到结果。
3. 您可以使用它与Hub, tar, zip, rar, rpm, npm, zip或其他文件存储方法。有趣的是，缺少。iso，。cdr和其他CD/DVD格式。我想，你可以把它们转换一下。
4. 它使用的是VulnDB服务，这种服务可以比cve中漏洞出现的速度更快地跟踪漏洞。我没有研究过VulnDB来了解它的价值。
5. 它解释了其他黑鸭知识库项目。据说他们超过了150万。我想这些项目中的一些项目睡着或更糟。黑鸭一直在做很长一段时间的解析这些事情。

缺点是：

1. cve的非上下文解析呈现的内容可能与容器无关。这将导致大量的误报，除非你的组织的政策是这样的:永远不要越过我们的TRANSOM时期，否则你会立即死亡。
2. 上面的非语境解析另外呈现出一个“哭狼”的问题，毕竟可能是巨大的丑陋得分可能不那么难看。在某种程度上，这是很好的，因为它让你透过所有丑陋的丑陋，所以你知道你提交的代码中的所有潜在问题。信噪比仍然有利于信号，但它可能更好。

Docker云安全工具的优点/缺点

半斤八两

1. 它在睡觉时检查您的存储库。
2. 每次推送图像时，如果你选择了，它就会被扫描。这意味着在使用的过程中，它是“linted。”
3. 检查每个组件的SHA除了在应用层。然后它与CVE相比。我还没有检查代码注射是否可以让它跌倒沙并使其爆炸。
4. 您可以选择只检查一个存储库，大概是为了节省最终的成本。
5. 在某些情况下，用那些被认为是易受攻击的版本替换更新/更改的版本是相当容易的。依赖关系、配置文件、符号链接、systemd噩梦和其他细节的恶魔都取决于你。

缺点

1. 我目前无法确定安全检查器是否存在于Docker安全解析器中的相同上下文错误。
2. 目前无法从其他存储库中检查容器。
3. 它不支持其他“近亲”容器格式。
4. 您受到存储库的文件格式约束的限制，直到其他可以添加/链接。
5. 在检查容器有效负载时没有使用其他漏洞源。

DockerCon将于下周举行，我希望我能在那里，随着更多细节即将到来。

现在，我只想说，我很高兴有多种检查集装箱有效载荷的方法，我热切地等待消息，甚至更好/改进的检查集装箱的方法。我认为来源可能是容器用户及其工作负载消费者面临的最大安全问题。