Сканирование образов (Trivy, Snyk)

Сканирование образов — это важный этап обеспечения безопасности контейнерных приложений. Сканеры образов, такие как Trivy и Snyk, анализируют контент образа, включая уязвимости в базовых образах, зависимостях и коде. Они также проверяют конфигурации и управляют процессом сборки, runtime и хостовой системы. Это позволяет выявлять и исправлять уязвимости на ранних стадиях разработки, что значительно уменьшает риски безопасности.

Как это работает

Сканирование образов (Trivy, Snyk) состоит из нескольких уровней анализа. Прежде всего, сканеры анализируют контент образа, включая уязвимости в базовых образах, зависимостях и коде. Они также проверяют конфигурации, такие как установка пакетов и настройки runtime. Данные сканирования сравниваются с базой данных Common Vulnerabilities and Exposures (CVE), что позволяет выявить уязвимости и предложить способы их устранения.

Процесс сборки также анализируется, чтобы выявить потенциальные угрозы безопасности, такие как недоверенные команды RUN и утечки секретов. Анализ runtime включает проверку прав доступа, таких как использование root внутри контейнера, а также настройки capabilities и seccomp. Важно также проверить хостовую систему на наличие уязвимостей, таких как устаревшие версии ядра или экспозиция daemon-сокета.

Когда применять

Сканирование образов следует применять с самого начала разработки проекта, чтобы минимизировать риски безопасности. Это особенно важно для проектов, где изменение безопасности на поздних стадиях может быть болезненным и дорогостоящим. Сканирование образов каждого CI-цикла с помощью Trivy или Snyk позволяет выявлять и исправлять уязвимости на ранних стадиях разработки. Это также позволяет валить сборки, если они содержат критические уязвимости (CRITICAL CVE).

Типичные ошибки

Типичные ошибки при сканировании образов включают использование root внутри контейнера, игнорирование уязвимостей на основе того, что определённые эндпоинты не используются, и использование флагов --privileged, чтобы обеспечить работоспособность некоторых библиотек. Также важно регулярно аудировать образы, даже если код приложения не меняется.

Связанные понятия

• Безопасность контейнеров
• Профили Seccomp
• AppArmor & SELinux для контейнеров
• Linux Capabilities (--cap-drop)