হে হাবর!

আধুনিক বাস্তবতায়, উন্নয়ন প্রক্রিয়ায় কন্টেইনারাইজেশনের ক্রমবর্ধমান ভূমিকার কারণে, কনটেইনারগুলির সাথে যুক্ত বিভিন্ন স্তর এবং সত্তার নিরাপত্তা নিশ্চিত করার বিষয়টি কম গুরুত্বপূর্ণ নয়। ম্যানুয়াল চেকগুলি করা সময়সাপেক্ষ, তাই এই প্রক্রিয়াটিকে স্বয়ংক্রিয় করার দিকে অন্তত প্রাথমিক পদক্ষেপ নেওয়া একটি ভাল ধারণা হবে৷

এই নিবন্ধে, আমি বেশ কয়েকটি ডকার সুরক্ষা ইউটিলিটি বাস্তবায়নের জন্য তৈরি স্ক্রিপ্টগুলি ভাগ করব এবং এই প্রক্রিয়াটি পরীক্ষা করার জন্য কীভাবে একটি ছোট ডেমো স্ট্যান্ড স্থাপন করতে হবে তার নির্দেশাবলী। ডকারফাইল ইমেজ এবং নির্দেশাবলীর নিরাপত্তা পরীক্ষা করার প্রক্রিয়া কীভাবে সংগঠিত করা যায় তা নিয়ে পরীক্ষা করার জন্য আপনি উপকরণগুলি ব্যবহার করতে পারেন। এটা স্পষ্ট যে প্রত্যেকের উন্নয়ন এবং বাস্তবায়ন পরিকাঠামো আলাদা, তাই নীচে আমি বেশ কয়েকটি সম্ভাব্য বিকল্প প্রদান করব।

নিরাপত্তা চেক ইউটিলিটি

প্রচুর সংখ্যক বিভিন্ন সহায়ক অ্যাপ্লিকেশন এবং স্ক্রিপ্ট রয়েছে যা ডকার অবকাঠামোর বিভিন্ন দিক পরীক্ষা করে। তাদের কিছু ইতিমধ্যে পূর্ববর্তী নিবন্ধে বর্ণিত হয়েছে (https://habr.com/ru/company/swordfish_security/blog/518758/#docker-security), এবং এই উপাদানটিতে আমি তাদের তিনটির উপর ফোকাস করতে চাই, যা উন্নয়ন প্রক্রিয়া চলাকালীন নির্মিত ডকার চিত্রগুলির জন্য নিরাপত্তা প্রয়োজনীয়তাগুলির সিংহভাগ কভার করে। উপরন্তু, আমি একটি উদাহরণও দেখাব কিভাবে এই তিনটি ইউটিলিটি একটি পাইপলাইনে নিরাপত্তা চেক করার জন্য সংযুক্ত করা যেতে পারে।

হ্যাডোলিন্ট
https://github.com/hadolint/hadolint

একটি মোটামুটি সাধারণ কনসোল ইউটিলিটি যা সাহায্য করে, প্রথম আনুমানিক হিসাবে, ডকারফাইল নির্দেশাবলীর সঠিকতা এবং সুরক্ষা মূল্যায়ন করতে (উদাহরণস্বরূপ, শুধুমাত্র অনুমোদিত চিত্র রেজিস্ট্রি ব্যবহার করে বা সুডো ব্যবহার করে)।

ডকল
https://github.com/goodwithtech/dockle

একটি কনসোল ইউটিলিটি যা একটি চিত্রের সাথে কাজ করে (বা একটি চিত্রের সংরক্ষিত টার সংরক্ষণাগারের সাথে), যা একটি নির্দিষ্ট চিত্রের সঠিকতা এবং সুরক্ষা পরীক্ষা করে যেমন এর স্তর এবং কনফিগারেশন বিশ্লেষণ করে - কোন ব্যবহারকারীরা তৈরি করা হয়েছে, কোন নির্দেশাবলী ব্যবহার করা হয়েছে, যা ভলিউম মাউন্ট করা হয়েছে, একটি খালি পাসওয়ার্ডের উপস্থিতি ইত্যাদি। CIS (সেন্টার ফর ইন্টারনেট সিকিউরিটি) বেঞ্চমার্ক ডকারের জন্য।


ট্রিভি
https://github.com/aquasecurity/trivy

এই ইউটিলিটি দুটি ধরণের দুর্বলতা খুঁজে বের করার লক্ষ্যে - ওএস বিল্ডের সমস্যা (আলপাইন, রেডহ্যাট (ইএল), সেন্টোস, ডেবিয়ান জিএনইউ, উবুন্টু দ্বারা সমর্থিত) এবং নির্ভরতার সমস্যা (Gemfile.lock, Pipfile.lock, composer.lock, প্যাকেজ) -lock.json , yarn.lock, cargo.lock)। ট্রিভি রিপোজিটরিতে একটি ছবি এবং একটি স্থানীয় ছবি উভয়ই স্ক্যান করতে পারে এবং ডকার ইমেজের সাথে স্থানান্তরিত .tar ফাইলের উপর ভিত্তি করে স্ক্যান করতে পারে।

ইউটিলিটি বাস্তবায়নের জন্য বিকল্প

একটি বিচ্ছিন্ন পরিবেশে বর্ণিত অ্যাপ্লিকেশনগুলি চেষ্টা করার জন্য, আমি কিছুটা সরলীকৃত প্রক্রিয়ায় সমস্ত ইউটিলিটি ইনস্টল করার জন্য নির্দেশাবলী প্রদান করব।

মূল ধারণা হল আপনি কীভাবে ডকারফাইলস এবং ডকার চিত্রগুলির স্বয়ংক্রিয় বিষয়বস্তু যাচাইকরণ বাস্তবায়ন করতে পারেন তা প্রদর্শন করা যা বিকাশের সময় তৈরি হয়।

চেক নিজেই নিম্নলিখিত পদক্ষেপগুলি নিয়ে গঠিত:

1. একটি লিন্টার ইউটিলিটি ব্যবহার করে ডকারফাইল নির্দেশাবলীর সঠিকতা এবং নিরাপত্তা পরীক্ষা করা হচ্ছে হ্যাডোলিন্ট
2. একটি ইউটিলিটি ব্যবহার করে চূড়ান্ত এবং মধ্যবর্তী চিত্রগুলির সঠিকতা এবং নিরাপত্তা পরীক্ষা করা হচ্ছে ডকল
3. ইউটিলিটি ব্যবহার করে - বেস ইমেজে সর্বজনীনভাবে পরিচিত দুর্বলতার (CVE) উপস্থিতি এবং বেশ কয়েকটি নির্ভরতা পরীক্ষা করা হচ্ছে ট্রিভি

পরে নিবন্ধে আমি এই পদক্ষেপগুলি বাস্তবায়নের জন্য তিনটি বিকল্প দেব:
প্রথমটি হল একটি উদাহরণ হিসাবে গিটল্যাব ব্যবহার করে CI/CD পাইপলাইন কনফিগার করার মাধ্যমে (একটি পরীক্ষার উদাহরণ বাড়ানোর প্রক্রিয়ার বর্ণনা সহ)।
দ্বিতীয়টি একটি শেল স্ক্রিপ্ট ব্যবহার করছে।
তৃতীয়টিতে ডকার ইমেজ স্ক্যান করার জন্য একটি ডকার ইমেজ তৈরি করা জড়িত।
আপনি আপনার জন্য সবচেয়ে উপযুক্ত বিকল্পটি চয়ন করতে পারেন, এটি আপনার পরিকাঠামোতে স্থানান্তর করতে পারেন এবং এটিকে আপনার প্রয়োজনের সাথে মানিয়ে নিতে পারেন৷

সমস্ত প্রয়োজনীয় ফাইল এবং অতিরিক্ত নির্দেশাবলী সংগ্রহস্থলে অবস্থিত: https://github.com/Swordfish-Security/docker_cicd

গিটল্যাব সিআই/সিডি-তে ইন্টিগ্রেশন

প্রথম বিকল্পে, আমরা উদাহরণ হিসেবে গিটল্যাব রিপোজিটরি সিস্টেম ব্যবহার করে কিভাবে আপনি নিরাপত্তা পরীক্ষা বাস্তবায়ন করতে পারেন তা দেখব। এখানে আমরা ধাপগুলি অতিক্রম করব এবং স্ক্র্যাচ থেকে গিটল্যাবের সাথে একটি পরীক্ষার পরিবেশ কীভাবে ইনস্টল করব, একটি স্ক্যানিং প্রক্রিয়া তৈরি করব এবং পরীক্ষার ডকারফাইল এবং একটি এলোমেলো চিত্র - জুসশপ অ্যাপ্লিকেশন পরীক্ষা করার জন্য ইউটিলিটিগুলি চালু করব।

গিটল্যাব ইনস্টল করা হচ্ছে
1. ডকার ইনস্টল করুন:

sudo apt-get update && sudo apt-get install docker.io

2. বর্তমান ব্যবহারকারীকে ডকার গ্রুপে যুক্ত করুন যাতে আপনি sudo ব্যবহার না করে ডকারের সাথে কাজ করতে পারেন:

sudo addgroup <username> docker

3. আপনার আইপি খুঁজুন:

ip addr

4. কনটেইনারে গিটল্যাব ইনস্টল করুন এবং চালু করুন, হোস্টনামের IP ঠিকানাটি আপনার নিজের সাথে প্রতিস্থাপন করুন:

docker run --detach 
--hostname 192.168.1.112 
--publish 443:443 --publish 80:80 
--name gitlab 
--restart always 
--volume /srv/gitlab/config:/etc/gitlab 
--volume /srv/gitlab/logs:/var/log/gitlab 
--volume /srv/gitlab/data:/var/opt/gitlab 
gitlab/gitlab-ce:latest

আমরা অপেক্ষা করি যতক্ষণ না গিটল্যাব সমস্ত প্রয়োজনীয় ইনস্টলেশন প্রক্রিয়া সম্পন্ন করে (আপনি লগ ফাইল আউটপুটের মাধ্যমে প্রক্রিয়াটি নিরীক্ষণ করতে পারেন: ডকার লগস -এফ গিটল্যাব)।

5. ব্রাউজারে আপনার স্থানীয় আইপি খুলুন এবং একটি পৃষ্ঠা দেখুন যা আপনাকে রুট ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করতে বলছে:

একটি নতুন পাসওয়ার্ড সেট করুন এবং গিটল্যাবে যান।

6. একটি নতুন প্রকল্প তৈরি করুন, উদাহরণস্বরূপ cicd-পরীক্ষা এবং স্টার্ট ফাইল দিয়ে এটি শুরু করুন README.md:

7. এখন আমাদের GitLab Runner ইনস্টল করতে হবে: একটি এজেন্ট যেটি অনুরোধের ভিত্তিতে সমস্ত প্রয়োজনীয় ক্রিয়াকলাপ চালাবে।
সর্বশেষ সংস্করণ ডাউনলোড করুন (এই ক্ষেত্রে, লিনাক্স 64-বিটের জন্য):

sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd64

8. এটি সম্পাদনযোগ্য করুন:

sudo chmod +x /usr/local/bin/gitlab-runner

9. রানারের জন্য একটি OS ব্যবহারকারী যোগ করুন এবং পরিষেবা শুরু করুন:

sudo useradd --comment 'GitLab Runner' --create-home gitlab-runner --shell /bin/bash
sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
sudo gitlab-runner start

এটি এই মত কিছু দেখা উচিত:

local@osboxes:~$ sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
Runtime platform arch=amd64 os=linux pid=8438 revision=0e5417a3 version=12.0.1
local@osboxes:~$ sudo gitlab-runner start
Runtime platform arch=amd64 os=linux pid=8518 revision=0e5417a3 version=12.0.1

10. এখন আমরা রানার নিবন্ধন করি যাতে এটি আমাদের গিটল্যাব উদাহরণের সাথে যোগাযোগ করতে পারে।
এটি করার জন্য, Settings-CI/CD পৃষ্ঠা খুলুন (http://OUR_IP_ADDRESS/root/cicd-test/-/settings/ci_cd) এবং রানার্স ট্যাবে URL এবং নিবন্ধন টোকেন খুঁজুন:

11. URL এবং রেজিস্ট্রেশন টোকেন প্রতিস্থাপন করে রানার নিবন্ধন করুন:

sudo gitlab-runner register 
--non-interactive 
--url "http://<URL>/" 
--registration-token "<Registration Token>" 
--executor "docker" 
--docker-privileged 
--docker-image alpine:latest 
--description "docker-runner" 
--tag-list "docker,privileged" 
--run-untagged="true" 
--locked="false" 
--access-level="not_protected"

ফলস্বরূপ, আমরা একটি রেডিমেড ওয়ার্কিং গিটল্যাব পাই, যার মধ্যে আমাদের ইউটিলিটিগুলি শুরু করার জন্য নির্দেশাবলী যোগ করতে হবে। এই ডেমোতে আমাদের কাছে অ্যাপ্লিকেশনটি তৈরি করার এবং এটিকে ধারণ করার পদক্ষেপ নেই, তবে একটি বাস্তব পরিবেশে এটি স্ক্যানিং পদক্ষেপের আগে থাকবে এবং বিশ্লেষণের জন্য চিত্র এবং একটি ডকারফাইল তৈরি করবে।

পাইপলাইন কনফিগারেশন

1. সংগ্রহস্থলে ফাইল যোগ করুন mydockerfile.df (এটি একটি টেস্ট ডকারফাইল যা আমরা পরীক্ষা করব) এবং গিটল্যাব সিআই/সিডি প্রক্রিয়া কনফিগারেশন ফাইল gitlab-cicd.yml, যা স্ক্যানারগুলির জন্য নির্দেশাবলী তালিকাভুক্ত করে (ফাইলের নামের বিন্দুটি নোট করুন)।

YAML কনফিগারেশন ফাইলটিতে তিনটি ইউটিলিটি (হ্যাডোলিন্ট, ডকল এবং ট্রিভি) চালানোর নির্দেশাবলী রয়েছে যা নির্বাচিত ডকারফাইল এবং ডকারফাইল ভেরিয়েবলে নির্দিষ্ট করা চিত্র বিশ্লেষণ করবে। সমস্ত প্রয়োজনীয় ফাইল সংগ্রহস্থল থেকে নেওয়া যেতে পারে: https://github.com/Swordfish-Security/docker_cicd/

থেকে নিষ্কাশন mydockerfile.df (এটি শুধুমাত্র ইউটিলিটির অপারেশন প্রদর্শনের জন্য নির্বিচারে নির্দেশাবলীর একটি সেট সহ একটি বিমূর্ত ফাইল)। ফাইলের সরাসরি লিঙ্ক: mydockerfile.df

mydockerfile.df এর বিষয়বস্তু

FROM amd64/node:10.16.0-alpine@sha256:f59303fb3248e5d992586c76cc83e1d3700f641cbcd7c0067bc7ad5bb2e5b489 AS tsbuild
COPY package.json .
COPY yarn.lock .
RUN yarn install
COPY lib lib
COPY tsconfig.json tsconfig.json
COPY tsconfig.app.json tsconfig.app.json
RUN yarn build
FROM amd64/ubuntu:18.04@sha256:eb70667a801686f914408558660da753cde27192cd036148e58258819b927395
LABEL maintainer="Rhys Arkins <[email protected]>"
LABEL name="renovate"
...
COPY php.ini /usr/local/etc/php/php.ini
RUN cp -a /tmp/piik/* /var/www/html/
RUN rm -rf /tmp/piwik
RUN chown -R www-data /var/www/html
ADD piwik-cli-setup /piwik-cli-setup
ADD reset.php /var/www/html/
## ENTRYPOINT ##
ADD entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
USER root

কনফিগারেশন YAML এর মত দেখাচ্ছে (ফাইলটি নিজেই সরাসরি লিঙ্কের মাধ্যমে এখানে পাওয়া যাবে: gitlab-ci.yml):

.gitlab-ci.yml-এর বিষয়বস্তু

variables:
    DOCKER_HOST: "tcp://docker:2375/"
    DOCKERFILE: "mydockerfile.df" # name of the Dockerfile to analyse   
    DOCKERIMAGE: "bkimminich/juice-shop" # name of the Docker image to analyse
    # DOCKERIMAGE: "knqyf263/cve-2018-11235" # test Docker image with several CRITICAL CVE
    SHOWSTOPPER_PRIORITY: "CRITICAL" # what level of criticality will fail Trivy job
    TRIVYCACHE: "$CI_PROJECT_DIR/.cache" # where to cache Trivy database of vulnerabilities for faster reuse
    ARTIFACT_FOLDER: "$CI_PROJECT_DIR"
 
services:
    - docker:dind # to be able to build docker images inside the Runner
 
stages:
    - scan
    - report
    - publish
 
HadoLint:
    # Basic lint analysis of Dockerfile instructions
    stage: scan
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/hadolint_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/hadolint/hadolint/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/hadolint/hadolint/releases/download/v${VERSION}/hadolint-Linux-x86_64 && chmod +x hadolint-Linux-x86_64
     
    # NB: hadolint will always exit with 0 exit code
    - ./hadolint-Linux-x86_64 -f json $DOCKERFILE > $ARTIFACT_FOLDER/hadolint_results.json || exit 0
 
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/hadolint_results.json
 
Dockle:
    # Analysing best practices about docker image (users permissions, instructions followed when image was built, etc.)
    stage: scan   
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/dockle_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/goodwithtech/dockle/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.tar.gz && tar zxf dockle_${VERSION}_Linux-64bit.tar.gz
    - ./dockle --exit-code 1 -f json --output $ARTIFACT_FOLDER/dockle_results.json $DOCKERIMAGE   
     
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/dockle_results.json
 
Trivy:
    # Analysing docker image and package dependencies against several CVE bases
    stage: scan   
    image: docker:git
 
    script:
    # getting the latest Trivy
    - apk add rpm
    - export VERSION=$(wget -q -O - https://api.github.com/repos/knqyf263/trivy/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/knqyf263/trivy/releases/download/v${VERSION}/trivy_${VERSION}_Linux-64bit.tar.gz && tar zxf trivy_${VERSION}_Linux-64bit.tar.gz
     
    # displaying all vulnerabilities w/o failing the build
    - ./trivy -d --cache-dir $TRIVYCACHE -f json -o $ARTIFACT_FOLDER/trivy_results.json --exit-code 0 $DOCKERIMAGE    
    
    # write vulnerabilities info to stdout in human readable format (reading pure json is not fun, eh?). You can remove this if you don't need this.
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 0 $DOCKERIMAGE    
 
    # failing the build if the SHOWSTOPPER priority is found
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 1 --severity $SHOWSTOPPER_PRIORITY --quiet $DOCKERIMAGE
         
    artifacts:
        when: always # return artifacts even after job failure
        paths:
        - $ARTIFACT_FOLDER/trivy_results.json
 
    cache:
        paths:
        - .cache
 
Report:
    # combining tools outputs into one HTML
    stage: report
    when: always
    image: python:3.5
     
    script:
    - mkdir json
    - cp $ARTIFACT_FOLDER/*.json ./json/
    - pip install json2html
    - wget https://raw.githubusercontent.com/shad0wrunner/docker_cicd/master/convert_json_results.py
    - python ./convert_json_results.py
     
    artifacts:
        paths:
        - results.html

প্রয়োজনে, আপনি একটি .tar আর্কাইভ আকারে সংরক্ষিত ছবিগুলিও স্ক্যান করতে পারেন (তবে, আপনাকে YAML ফাইলের ইউটিলিটিগুলির জন্য ইনপুট পরামিতিগুলি পরিবর্তন করতে হবে)

দ্রষ্টব্য: Trivy ইনস্টল করা প্রয়োজন RPM и ফালতু বা এলেবেলে লোক. অন্যথায়, এটি RedHat-ভিত্তিক ছবি স্ক্যান করার সময় এবং দুর্বলতা ডাটাবেসের আপডেট পাওয়ার সময় ত্রুটি তৈরি করবে।

2. রিপোজিটরিতে ফাইল যোগ করার পর, আমাদের কনফিগারেশন ফাইলের নির্দেশাবলী অনুযায়ী, গিটল্যাব স্বয়ংক্রিয়ভাবে বিল্ড এবং স্ক্যান প্রক্রিয়া শুরু করবে। CI/CD → পাইপলাইন ট্যাবে আপনি নির্দেশাবলীর অগ্রগতি দেখতে পারেন।

ফলস্বরূপ, আমাদের চারটি কাজ রয়েছে। তাদের মধ্যে তিনটি স্ক্যানিংয়ের সাথে সরাসরি কাজ করে এবং শেষটি (রিপোর্ট) স্ক্যানিং ফলাফল সহ বিক্ষিপ্ত ফাইলগুলি থেকে একটি সাধারণ প্রতিবেদন সংগ্রহ করে।

ডিফল্টরূপে, ট্রিভি চলমান বন্ধ করে দেয় যদি চিত্র বা নির্ভরতাগুলিতে গুরুতর দুর্বলতা সনাক্ত করা হয়। একই সময়ে, হ্যাডোলিন্ট সর্বদা একটি সাফল্যের কোড ফেরত দেয় কারণ এটি সর্বদা মন্তব্যে পরিণত হয়, যার ফলে বিল্ড বন্ধ হয়ে যায়।

আপনার নির্দিষ্ট প্রয়োজনীয়তার উপর নির্ভর করে, আপনি একটি প্রস্থান কোড কনফিগার করতে পারেন যাতে এই ইউটিলিটিগুলি যখন একটি নির্দিষ্ট জটিলতার সমস্যা সনাক্ত করে, তখন তারা বিল্ড প্রক্রিয়াটিও বন্ধ করে দেয়। আমাদের ক্ষেত্রে, বিল্ডটি তখনই বন্ধ হয়ে যাবে যদি ট্রিভি সেই সমালোচনার সাথে একটি দুর্বলতা সনাক্ত করে যা আমরা SHOWSTOPPER ভেরিয়েবলে উল্লেখ করেছি gitlab-ci.yml.


প্রতিটি ইউটিলিটির ফলাফল প্রতিটি স্ক্যানিং টাস্কের লগে, আর্টিফ্যাক্ট বিভাগে সরাসরি json ফাইলে বা একটি সাধারণ HTML রিপোর্টে দেখা যেতে পারে (নীচে আরও বেশি):


3. ইউটিলিটি রিপোর্টগুলিকে কিছুটা বেশি মানব-পাঠযোগ্য আকারে উপস্থাপন করতে, একটি ছোট পাইথন স্ক্রিপ্ট তিনটি JSON ফাইলকে একটি HTML ফাইলে ত্রুটির টেবিলে রূপান্তর করতে ব্যবহৃত হয়।
এই স্ক্রিপ্টটি একটি পৃথক রিপোর্ট টাস্ক দ্বারা চালু করা হয়েছে, এবং এর চূড়ান্ত নিদর্শন হল একটি রিপোর্ট সহ একটি HTML ফাইল। স্ক্রিপ্টের উত্সটিও সংগ্রহস্থলে রয়েছে এবং আপনার প্রয়োজন, রঙ ইত্যাদির সাথে মানিয়ে নেওয়া যেতে পারে।

শেল স্ক্রিপ্ট

দ্বিতীয় বিকল্পটি সেই ক্ষেত্রে উপযুক্ত যখন আপনাকে CI/CD সিস্টেমের বাইরে ডকার ইমেজগুলি পরীক্ষা করতে হবে বা আপনার কাছে এমন একটি ফর্মের সমস্ত নির্দেশাবলী থাকতে হবে যা সরাসরি হোস্টে কার্যকর করা যেতে পারে। এই বিকল্পটি একটি রেডিমেড শেল স্ক্রিপ্ট দ্বারা আচ্ছাদিত যা একটি পরিষ্কার ভার্চুয়াল (বা এমনকি বাস্তব) মেশিনে চালানো যেতে পারে। স্ক্রিপ্টটি উপরে বর্ণিত গিটল্যাব-রানারের মতো একই নির্দেশাবলী সম্পাদন করে।

স্ক্রিপ্টটি সফলভাবে চালানোর জন্য, ডকারকে সিস্টেমে ইনস্টল করতে হবে এবং বর্তমান ব্যবহারকারীকে অবশ্যই ডকার গ্রুপে থাকতে হবে।

স্ক্রিপ্ট নিজেই এখানে পাওয়া যাবে: docker_sec_check.sh

ফাইলের শুরুতে, ভেরিয়েবলগুলি নির্দিষ্ট করে যে কোন চিত্রটি স্ক্যান করা দরকার এবং কোন সমালোচনামূলক ত্রুটির কারণে ট্রিভি ইউটিলিটি নির্দিষ্ট ত্রুটি কোডের সাথে প্রস্থান করবে।

স্ক্রিপ্ট কার্যকর করার সময়, সমস্ত ইউটিলিটি ডিরেক্টরিতে ডাউনলোড করা হবে docker_tools, তাদের কাজের ফলাফল ডিরেক্টরিতে আছে docker_tools/json, এবং রিপোর্ট সহ HTML ফাইলে থাকবে ফলাফল.html.

উদাহরণ স্ক্রিপ্ট আউটপুট

~/docker_cicd$ ./docker_sec_check.sh

[+] Setting environment variables
[+] Installing required packages
[+] Preparing necessary directories
[+] Fetching sample Dockerfile
2020-10-20 10:40:00 (45.3 MB/s) - ‘Dockerfile’ saved [8071/8071]
[+] Pulling image to scan
latest: Pulling from bkimminich/juice-shop
[+] Running Hadolint
...
Dockerfile:205 DL3015 Avoid additional packages by specifying `--no-install-recommends`
Dockerfile:248 DL3002 Last USER should not be root
...
[+] Running Dockle
...
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
...
[+] Running Trivy
juice-shop/frontend/package-lock.json
=====================================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 2, CRITICAL: 0)

+---------------------+------------------+----------+---------+-------------------------+
|       LIBRARY       | VULNERABILITY ID | SEVERITY | VERSION |             TITLE       |
+---------------------+------------------+----------+---------+-------------------------+
| object-path         | CVE-2020-15256   | HIGH     | 0.11.4  | Prototype pollution in  |
|                     |                  |          |         | object-path             |
+---------------------+------------------+          +---------+-------------------------+
| tree-kill           | CVE-2019-15599   |          | 1.2.2   | Code Injection          |
+---------------------+------------------+----------+---------+-------------------------+
| webpack-subresource | CVE-2020-15262   | LOW      | 1.4.1   | Unprotected dynamically |
|                     |                  |          |         | loaded chunks           |
+---------------------+------------------+----------+---------+-------------------------+

juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)

...

juice-shop/package-lock.json
============================
Total: 5 (CRITICAL: 5)

...
[+] Removing left-overs
[+] Making the output look pretty
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

সমস্ত ইউটিলিটি সহ ডকার ইমেজ

তৃতীয় বিকল্প হিসাবে, আমি নিরাপত্তা ইউটিলিটিগুলির সাথে একটি চিত্র তৈরি করতে দুটি সাধারণ ডকারফাইল সংকলন করেছি। একটি ডকারফাইল একটি সংগ্রহস্থল থেকে একটি চিত্র স্ক্যান করার জন্য একটি সেট তৈরি করতে সহায়তা করবে, দ্বিতীয়টি (ডকারফাইল_টার) একটি চিত্র সহ একটি টার ফাইল স্ক্যান করার জন্য একটি সেট তৈরি করতে সহায়তা করবে।

1. রিপোজিটরি থেকে সংশ্লিষ্ট ডকার ফাইল এবং স্ক্রিপ্টগুলি নিন https://github.com/Swordfish-Security/docker_cicd/tree/master/Dockerfile.
2. আমরা সমাবেশের জন্য এটি চালু করি:

docker build -t dscan:image -f docker_security.df .

3. সমাবেশ সম্পন্ন হওয়ার পরে, আমরা ছবিটি থেকে একটি ধারক তৈরি করি। একই সময়ে, আমরা যে ছবিটিতে আগ্রহী সেই ছবির নাম দিয়ে আমরা ডকারিমেজ এনভায়রনমেন্ট ভেরিয়েবল পাস করি এবং ডকারফাইলটি মাউন্ট করি যা আমরা আমাদের মেশিন থেকে ফাইলে বিশ্লেষণ করতে চাই। /ডকারফাইল (মনে রাখবেন যে এই ফাইলের পরম পথ প্রয়োজন):

docker run --rm -v $(pwd)/results:/results -v $(pwd)/docker_security.df:/Dockerfile -e DOCKERIMAGE="bkimminich/juice-shop" dscan:image

[+] Setting environment variables
[+] Running Hadolint
/Dockerfile:3 DL3006 Always tag the version of an image explicitly
[+] Running Dockle
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO    - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
        * not found HEALTHCHECK statement
INFO    - DKL-LI-0003: Only put necessary files
        * unnecessary file : juice-shop/node_modules/sqlite3/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm64/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm/Dockerfile
[+] Running Trivy
...
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
[+] Making the output look pretty
[+] Starting the main module ============================================================
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

Результаты

আমরা ডকার আর্টিফ্যাক্টগুলি স্ক্যান করার জন্য ইউটিলিটিগুলির শুধুমাত্র একটি মৌলিক সেট দেখেছি, যা, আমার মতে, খুব কার্যকরভাবে চিত্র সুরক্ষা প্রয়োজনীয়তার একটি শালীন অংশকে কভার করে। এছাড়াও প্রচুর পরিমাণে প্রদত্ত এবং বিনামূল্যের সরঞ্জাম রয়েছে যা একই পরীক্ষাগুলি সম্পাদন করতে পারে, সুন্দর প্রতিবেদন আঁকতে পারে বা কনসোল মোডে সম্পূর্ণরূপে কাজ করতে পারে, কভার কন্টেইনার ম্যানেজমেন্ট সিস্টেম ইত্যাদি। .

এই নিবন্ধে বর্ণিত সরঞ্জামগুলির সেট সম্পর্কে ভাল জিনিস হল যে সেগুলি সবই ওপেন সোর্স এবং আপনি আপনার প্রয়োজন এবং পরিকাঠামোর জন্য উপযুক্ত কি তা খুঁজে বের করতে সেগুলি এবং অন্যান্য অনুরূপ সরঞ্জামগুলির সাথে পরীক্ষা করতে পারেন৷ অবশ্যই, সমস্ত দুর্বলতাগুলি যা পাওয়া যায় নির্দিষ্ট পরিস্থিতিতে প্রযোজ্যতার জন্য অধ্যয়ন করা উচিত, তবে এটি ভবিষ্যতের একটি বড় নিবন্ধের জন্য একটি বিষয়।

আমি আশা করি এই নির্দেশিকা, স্ক্রিপ্ট এবং ইউটিলিটিগুলি আপনাকে সাহায্য করবে এবং কন্টেইনারাইজেশনের ক্ষেত্রে আরও সুরক্ষিত অবকাঠামো তৈরির জন্য একটি সূচনা বিন্দু হয়ে উঠবে।

উত্স: www.habr.com