Neuer Docker-Cloud-Add-On-Dienst hilft beim Risiko-Management

Docker Security Scanning offiziell vorgestellt
Kommentare

Die moderne Software-Supply-Chain umfasst normalerweise mehrere Development- und IT-Teams, die nicht zwingend alle am gleichen Standort arbeiten. Das Entwickeln und Veröffentlichen von qualitativ hochwertiger Software ist dabei natürlich die Hauptaufgabe des Entwickler-Teams, und Risiko-Management ist ein Teil davon. Das nun vorgestellte Docker Security Scanning soll Entwicklern genau dabei behilflich sein.

Bereits im letzten Jahr hat das Docker-Team ein solches Projekt – damals noch unter dem Namen Project Nautilus – vorgestellt, ab sofort steht es als Add-On-Dienst für private Repositories in der Docker Cloud sowie offizielle Repositories im Docker Hub zur Verfügung. Dabei stellt Docker Security Scanning Entwicklern ein detailliertes Sicherheitsprofil ihrer Docker-Images zur Verfügung. Im Docker-Blog hat Toli Kuznets den neuen Dienst vorgestellt.

Docker Security Scanning: Tiefe Einblicke in Docker-Images

Sicherheit ist natürlich auch bei Cloud-Applikationen gefragt. Dazu soll Docker Security Scanning in der Docker Cloud beitragen. Der neue Dienst stellt Entwicklern tiefe Einblicke in ihre Docker-Images zur Verfügung und bietet zudem ein detailliertes Sicherheitsprofil von den entsprechenden Komponenten. Anschließend stehen diese Informationen bei jedem Schritt des App-Lebenszyklus zur Einsicht zur Verfügung.

Der Add-On-Dienst umfasst einen Scan-Trigger, den Scanner, eine Datenbank, ein Plugin-Framework und Validierungs-Dienste, die mit CVE-Datenbanken verbunden sind. Das folgende Bild veranschaulicht den Aufbau von Docker Security Scanning und dessen Integration in der Docker Cloud:

Aufbau Docker Security Scanning

Aufbau Docker Security Scanning, Quelle: Docker

Docker Security Scanning wird gestartet, sobald ein User ein Image in ein in der Docker Cloud gehostetes Repository pusht. Der Scanner trennt das Image in seine einzelnen Layer und Komponenten auf und schickt die Komponenten an den Validierungs-Dienst. Dieser überprüft sie in verschiedenen CVE-Datenbanken hinsichtlich Package-Name und -version und führt einen Binary-Level-Scan der Package-Inhalte aus. Vor allem der letzte Schritt ist wichtig, erklärt das Entwickler-Team, denn:

this approach ensures the package is exactly what it claims it is

Sobald alle Komponenten überprüft und die Ergebnisse zurückgegeben wurden, wird ein detaillierter BOM (Bills of Material) generiert und in der Docker-Security-Scanning-Datenbank für jedes Image und Tag gespeichert. Die Ergebnisse werden zudem an die Docker Cloud übermittelt und im User Interface angezeigt.

Wird eine neue Schwachstelle in eine der CVE-Datenbanken eingetragen, überprüft Docker Security Scanning die Service-Datenbank und gibt entsprechende Benachrichtigungen aus, wenn Packages in einem Image von der Sicherheitslücke betroffen sind.

DevOps Docker Camp

Das neue DevOps Docker Camp mit Erkan Yanar

Lernen Sie die Konzepte von Docker und die darauf aufbauenden Infrastrukturen umfassend kennen. Bauen Sie Schritt für Schritt eine eigene Infrastruktur für und mit Docker auf!

Verfügbarkeit von Docker Security Scanning

Aktuell steht Docker Security Scanning für private Repositories in der Docker Cloud zur Verfügung. Allerdings können auch die offiziellen Images von Docker im Docker Hub überprüft werden, sofern der User eingeloggt ist – und zwar unabhängig davon, ob er über ein laufendes Abonnement verfügt.

Derzeit erhalten Kunden mit privaten Repositories einen begrenzt gültigen Probezeitraum von drei Monaten; anschließend kostet die Nutzung sieben US-Dollar pro Monat für fünf private Repositories. Mehr Informationen dazu bietet der oben genannte Blogpost; dort wird auch nochmal ausführlich erklärt, wie man Docker Security Scanning aktivieren kann.

Aufmacherbild: Humpback Whale (Megaptera novaeangliae) von Shutterstock / Urheberrecht: Tory Kallman

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -