היי הבר!

במציאות המודרנית, בשל התפקיד ההולך וגדל של קונטיינריזציה בתהליכי פיתוח, נושא הבטחת שלבים וגופים שונים הקשורים למכולות אינו הנושא הכי חשוב. ביצוע בדיקות ידניות גוזל זמן רב, כך שיהיה זה רעיון טוב לנקוט לפחות את הצעדים הראשונים לקראת אוטומציה של תהליך זה.

במאמר זה, אחלוק סקריפטים מוכנים להטמעת מספר כלי אבטחה של Docker והוראות כיצד לפרוס עמדת הדגמה קטנה כדי לבדוק תהליך זה. אתה יכול להשתמש בחומרים כדי להתנסות כיצד לארגן את תהליך בדיקת האבטחה של תמונות והוראות Dockerfile. ברור שתשתית הפיתוח וההטמעה של כל אחד שונה, אז להלן אציג מספר אפשרויות אפשריות.

כלי עזר לבדיקת אבטחה

יש מספר רב של יישומי עוזר וסקריפטים שונים המבצעים בדיקות על היבטים שונים של תשתית Docker. כמה מהם כבר תוארו במאמר הקודם (https://habr.com/ru/company/swordfish_security/blog/518758/#docker-security), ובחומר זה ברצוני להתמקד בשלושה מהם, המכסים את עיקר דרישות האבטחה לתמונות Docker שנבנו במהלך תהליך הפיתוח. בנוסף, אראה גם דוגמה כיצד ניתן לחבר את שלושת כלי השירות הללו לצינור אחד לביצוע בדיקות אבטחה.

האדולינט
https://github.com/hadolint/hadolint

כלי עזר פשוט למדי של קונסולה שעוזר, כקירוב ראשון, להעריך את הנכונות והבטיחות של הוראות Dockerfile (לדוגמה, שימוש רק ברישום תמונות מורשים או שימוש ב-sudo).

דוקל
https://github.com/goodwithtech/dockle

כלי עזר למסוף שעובד עם תמונה (או עם ארכיון tar שמור של תמונה), שבודק את נכונותה ואבטחה של תמונה מסוימת ככזו, מנתח את השכבות והקונפיגורציה שלה - אילו משתמשים נוצרו, באילו הוראות משתמשים, אילו נפחים מורכבים, נוכחות של סיסמה ריקה וכו'. ד עד כה מספר הצ'קים אינו גדול במיוחד ומבוסס על מספר בדיקות והמלצות שלנו. מדד CIS (מרכז לאבטחת אינטרנט). עבור Docker.

טריווי
https://github.com/aquasecurity/trivy

כלי עזר זה נועד למצוא שני סוגים של פגיעויות - בעיות בבניית מערכת הפעלה (נתמכת על ידי Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu) ובעיות עם תלות (Gemfile.lock, Pipfile.lock, composer.lock, חבילה -lock.json , yarn.lock, cargo.lock). Trivy יכולה לסרוק גם תמונה במאגר וגם תמונה מקומית, וגם יכולה לסרוק על סמך קובץ ה-.tar שהועבר עם תמונת Docker.

אפשרויות ליישום כלי עזר

על מנת לנסות את היישומים המתוארים בסביבה מבודדת, אספק הנחיות להתקנת כל כלי העזר בתהליך מעט פשוט.

הרעיון המרכזי הוא להדגים כיצד ניתן ליישם אימות תוכן אוטומטי של Dockerfiles ותמונות Docker שנוצרו במהלך הפיתוח.

הצ'ק עצמו מורכב מהשלבים הבאים:

בדיקת נכונות ובטיחות הוראות Dockerfile באמצעות כלי עזר linter האדולינט
בדיקת תקינות ובטיחות התמונות הסופיות והביניים באמצעות כלי עזר דוקל
בדיקת נוכחות של פגיעויות ידועות בציבור (CVE) בתמונת הבסיס ומספר תלות - באמצעות כלי השירות טריווי

בהמשך המאמר אתן שלוש אפשרויות ליישום השלבים הבאים:
הראשון הוא על ידי הגדרת צינור ה-CI/CD באמצעות GitLab כדוגמה (עם תיאור של תהליך העלאת מופע בדיקה).
השני הוא שימוש בסקריפט מעטפת.
השלישית כוללת בניית תמונת Docker כדי לסרוק תמונות Docker.
תוכלו לבחור את האפשרות המתאימה לכם ביותר, להעביר אותה לתשתית ולהתאים אותה לצרכים שלכם.

כל הקבצים הדרושים והוראות נוספות ממוקמים גם במאגר: https://github.com/Swordfish-Security/docker_cicd

אינטגרציה לתוך GitLab CI/CD

באפשרות הראשונה, נבחן כיצד ניתן ליישם בדיקות אבטחה באמצעות מערכת המאגר GitLab כדוגמה. כאן נעבור על השלבים ונבין כיצד להתקין סביבת בדיקה עם GitLab מאפס, ליצור תהליך סריקה ולהפעיל כלי עזר לבדיקת Dockerfile הבדיקה ותמונה אקראית - אפליקציית JuiceShop.

התקנת GitLab
1. התקן את Docker:

sudo apt-get update && sudo apt-get install docker.io

2. הוסף את המשתמש הנוכחי לקבוצת docker כך שתוכל לעבוד עם docker מבלי להשתמש ב-sudo:

sudo addgroup <username> docker

3. מצא את ה-IP שלך:

ip addr

4. התקן והפעל את GitLab בקונטיינר, תוך החלפת כתובת ה-IP בשם המארח בכתובת שלך:

docker run --detach 
--hostname 192.168.1.112 
--publish 443:443 --publish 80:80 
--name gitlab 
--restart always 
--volume /srv/gitlab/config:/etc/gitlab 
--volume /srv/gitlab/logs:/var/log/gitlab 
--volume /srv/gitlab/data:/var/opt/gitlab 
gitlab/gitlab-ce:latest

אנו מחכים עד ש-GitLab ישלים את כל הליכי ההתקנה הדרושים (תוכל לנטר את התהליך באמצעות פלט קובץ היומן: docker logs -f gitlab).

5. פתח את ה-IP המקומי שלך בדפדפן וראה דף המבקש ממך לשנות את הסיסמה עבור משתמש השורש:

הגדר סיסמה חדשה ועבור אל GitLab.

6. צור פרויקט חדש, למשל cicd-test ואתחול אותו עם קובץ ההתחלה README.md:

7. כעת עלינו להתקין את GitLab Runner: סוכן שיריץ את כל הפעולות הדרושות לפי בקשה.
הורד את הגרסה העדכנית ביותר (במקרה זה, עבור לינוקס 64 סיביות):

sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd64

8. הפוך אותו לניתן הפעלה:

sudo chmod +x /usr/local/bin/gitlab-runner

9. הוסף משתמש מערכת הפעלה עבור Runner והתחל את השירות:

sudo useradd --comment 'GitLab Runner' --create-home gitlab-runner --shell /bin/bash
sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
sudo gitlab-runner start

זה אמור להיראות בערך כך:

local@osboxes:~$ sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
Runtime platform arch=amd64 os=linux pid=8438 revision=0e5417a3 version=12.0.1
local@osboxes:~$ sudo gitlab-runner start
Runtime platform arch=amd64 os=linux pid=8518 revision=0e5417a3 version=12.0.1

10. כעת אנו רושמים את ה-Runner כך שיוכל ליצור אינטראקציה עם מופע ה-GitLab שלנו.
כדי לעשות זאת, פתח את דף Settings-CI/CD (http://OUR_IP_ADDRESS/root/cicd-test/-/settings/ci_cd) ובכרטיסייה Runners מצא את כתובת האתר ואסימון הרישום:

11. הרשום את הרץ על ידי החלפת כתובת האתר ואסימון הרישום:

sudo gitlab-runner register 
--non-interactive 
--url "http://<URL>/" 
--registration-token "<Registration Token>" 
--executor "docker" 
--docker-privileged 
--docker-image alpine:latest 
--description "docker-runner" 
--tag-list "docker,privileged" 
--run-untagged="true" 
--locked="false" 
--access-level="not_protected"

כתוצאה מכך, אנו מקבלים GitLab עובד מוכן, שלתוכו עלינו להוסיף הוראות כדי להפעיל את כלי השירות שלנו. בהדגמה זו אין לנו את השלבים לבנות את האפליקציה ולרכז אותה במכולה, אבל בסביבה אמיתית אלו יקדמו את שלבי הסריקה וייצרו תמונות ו-Dockerfile לניתוח.

תצורת צינור

1. הוסף קבצים למאגר mydockerfile.df (זהו Dockerfile לבדיקה שנבדוק) וקובץ תצורת תהליך GitLab CI/CD .gitlab-cicd.yml, המפרט הוראות לסורקים (שים לב לנקודה בשם הקובץ).

קובץ התצורה של YAML מכיל הוראות להפעלת שלושה כלי עזר (Hadolint, Dockle ו-Trivy) שינתחו את ה- Dockerfile שנבחר ואת התמונה המצוינת במשתנה DOCKERFILE. ניתן לקחת את כל הקבצים הדרושים מהמאגר: https://github.com/Swordfish-Security/docker_cicd/

חלץ מ mydockerfile.df (זהו קובץ אבסטרקטי עם קבוצה של הוראות שרירותיות רק כדי להדגים את פעולת הכלי). קישור ישיר לקובץ: mydockerfile.df

התוכן של mydockerple.df

FROM amd64/node:10.16.0-alpine@sha256:f59303fb3248e5d992586c76cc83e1d3700f641cbcd7c0067bc7ad5bb2e5b489 AS tsbuild
COPY package.json .
COPY yarn.lock .
RUN yarn install
COPY lib lib
COPY tsconfig.json tsconfig.json
COPY tsconfig.app.json tsconfig.app.json
RUN yarn build
FROM amd64/ubuntu:18.04@sha256:eb70667a801686f914408558660da753cde27192cd036148e58258819b927395
LABEL maintainer="Rhys Arkins <[email protected]>"
LABEL name="renovate"
...
COPY php.ini /usr/local/etc/php/php.ini
RUN cp -a /tmp/piik/* /var/www/html/
RUN rm -rf /tmp/piwik
RUN chown -R www-data /var/www/html
ADD piwik-cli-setup /piwik-cli-setup
ADD reset.php /var/www/html/
## ENTRYPOINT ##
ADD entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
USER root

התצורה של YAML נראית כך (את הקובץ עצמו ניתן למצוא דרך הקישור הישיר כאן: .gitlab-ci.yml):

תוכן של .gitlab-ci.yml

variables:
    DOCKER_HOST: "tcp://docker:2375/"
    DOCKERFILE: "mydockerfile.df" # name of the Dockerfile to analyse   
    DOCKERIMAGE: "bkimminich/juice-shop" # name of the Docker image to analyse
    # DOCKERIMAGE: "knqyf263/cve-2018-11235" # test Docker image with several CRITICAL CVE
    SHOWSTOPPER_PRIORITY: "CRITICAL" # what level of criticality will fail Trivy job
    TRIVYCACHE: "$CI_PROJECT_DIR/.cache" # where to cache Trivy database of vulnerabilities for faster reuse
    ARTIFACT_FOLDER: "$CI_PROJECT_DIR"
 
services:
    - docker:dind # to be able to build docker images inside the Runner
 
stages:
    - scan
    - report
    - publish
 
HadoLint:
    # Basic lint analysis of Dockerfile instructions
    stage: scan
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/hadolint_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/hadolint/hadolint/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/hadolint/hadolint/releases/download/v${VERSION}/hadolint-Linux-x86_64 && chmod +x hadolint-Linux-x86_64
     
    # NB: hadolint will always exit with 0 exit code
    - ./hadolint-Linux-x86_64 -f json $DOCKERFILE > $ARTIFACT_FOLDER/hadolint_results.json || exit 0
 
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/hadolint_results.json
 
Dockle:
    # Analysing best practices about docker image (users permissions, instructions followed when image was built, etc.)
    stage: scan   
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/dockle_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/goodwithtech/dockle/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.tar.gz && tar zxf dockle_${VERSION}_Linux-64bit.tar.gz
    - ./dockle --exit-code 1 -f json --output $ARTIFACT_FOLDER/dockle_results.json $DOCKERIMAGE   
     
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/dockle_results.json
 
Trivy:
    # Analysing docker image and package dependencies against several CVE bases
    stage: scan   
    image: docker:git
 
    script:
    # getting the latest Trivy
    - apk add rpm
    - export VERSION=$(wget -q -O - https://api.github.com/repos/knqyf263/trivy/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/knqyf263/trivy/releases/download/v${VERSION}/trivy_${VERSION}_Linux-64bit.tar.gz && tar zxf trivy_${VERSION}_Linux-64bit.tar.gz
     
    # displaying all vulnerabilities w/o failing the build
    - ./trivy -d --cache-dir $TRIVYCACHE -f json -o $ARTIFACT_FOLDER/trivy_results.json --exit-code 0 $DOCKERIMAGE    
    
    # write vulnerabilities info to stdout in human readable format (reading pure json is not fun, eh?). You can remove this if you don't need this.
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 0 $DOCKERIMAGE    
 
    # failing the build if the SHOWSTOPPER priority is found
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 1 --severity $SHOWSTOPPER_PRIORITY --quiet $DOCKERIMAGE
         
    artifacts:
        when: always # return artifacts even after job failure
        paths:
        - $ARTIFACT_FOLDER/trivy_results.json
 
    cache:
        paths:
        - .cache
 
Report:
    # combining tools outputs into one HTML
    stage: report
    when: always
    image: python:3.5
     
    script:
    - mkdir json
    - cp $ARTIFACT_FOLDER/*.json ./json/
    - pip install json2html
    - wget https://raw.githubusercontent.com/shad0wrunner/docker_cicd/master/convert_json_results.py
    - python ./convert_json_results.py
     
    artifacts:
        paths:
        - results.html

במידת הצורך, תוכל גם לסרוק תמונות שמורות בצורה של ארכיון .tar (עם זאת, תצטרך לשנות את פרמטרי הקלט עבור כלי השירות בקובץ YAML)

הערה: טריווי דורש התקנה סל"ד и סילון. אחרת, הוא ייצור שגיאות בעת סריקת תמונות מבוססות RedHat וקבלת עדכונים למסד הנתונים של הפגיעות.

2. לאחר הוספת קבצים למאגר, לפי ההוראות בקובץ התצורה שלנו, GitLab תתחיל אוטומטית את תהליך הבנייה והסריקה. בכרטיסייה CI/CD → Pipelines תוכל לראות את התקדמות ההוראות.

כתוצאה מכך, יש לנו ארבע משימות. שלושה מהם עוסקים ישירות בסריקה, והאחרון (Report) אוסף דוח פשוט מקבצים מפוזרים עם תוצאות סריקה.

כברירת מחדל, Trivy מפסיקה לפעול אם מזוהות פגיעויות קריטיות בתמונה או בתלות. במקביל, Hadolint תמיד מחזירה קוד הצלחה מכיוון שהוא תמיד מביא להערות, מה שגורם להפסקת הבנייה.

בהתאם לדרישות הספציפיות שלך, אתה יכול להגדיר קוד יציאה כך שכאשר כלי עזר אלו מזהים בעיות בעלות קריטיות מסוימת, הם גם עוצרים את תהליך הבנייה. במקרה שלנו, ה-build ייפסק רק אם Trivy תזהה נקודת תורפה בעלת הקריטיות שציינו במשתנה SHOWSTOPPER ב- .gitlab-ci.yml.

ניתן לראות את התוצאה של כל כלי עזר ביומן של כל משימת סריקה, ישירות בקבצי ה-json בקטע החפצים, או בדוח HTML פשוט (עוד על כך בהמשך):

3. כדי להציג דוחות שירות בצורה קצת יותר קריאה לאדם, נעשה שימוש בסקריפט Python קטן להמרת שלושה קובצי JSON לקובץ HTML אחד עם טבלת פגמים.
סקריפט זה מופעל על ידי משימת דוח נפרדת, והחפץ האחרון שלו הוא קובץ HTML עם דוח. מקור הסקריפט נמצא גם הוא במאגר וניתן להתאים אותו לצרכים שלך, צבעים וכו'.

תסריט מעטפת

האפשרות השנייה מתאימה למקרים שבהם אתה צריך לבדוק תמונות Docker מחוץ למערכת ה-CI/CD או שאתה צריך לקבל את כל ההוראות בטופס שניתן לבצע ישירות על המארח. אפשרות זו מכוסה על ידי סקריפט מעטפת מוכן שניתן להריץ על מכונה וירטואלית נקייה (או אפילו אמיתית). הסקריפט מבצע את אותן הוראות כמו ה-gitlab-runner שתואר לעיל.

כדי שהסקריפט יפעל בהצלחה, Docker חייב להיות מותקן במערכת והמשתמש הנוכחי חייב להיות בקבוצת docker.

את התסריט עצמו ניתן למצוא כאן: docker_sec_check.sh

בתחילת הקובץ, משתנים מציינים איזו תמונה יש לסרוק ואילו פגמים קריטיים יגרמו לכלי השירות Trivy לצאת עם קוד השגיאה שצוין.

במהלך ביצוע הסקריפט, כל כלי השירות יורדו לספרייה docker_tools, תוצאות עבודתם נמצאות בספרייה docker_tools/json, וה-HTML עם הדוח יהיה בקובץ results.html.

פלט סקריפט לדוגמה

~/docker_cicd$ ./docker_sec_check.sh

[+] Setting environment variables
[+] Installing required packages
[+] Preparing necessary directories
[+] Fetching sample Dockerfile
2020-10-20 10:40:00 (45.3 MB/s) - ‘Dockerfile’ saved [8071/8071]
[+] Pulling image to scan
latest: Pulling from bkimminich/juice-shop
[+] Running Hadolint
...
Dockerfile:205 DL3015 Avoid additional packages by specifying `--no-install-recommends`
Dockerfile:248 DL3002 Last USER should not be root
...
[+] Running Dockle
...
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
...
[+] Running Trivy
juice-shop/frontend/package-lock.json
=====================================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 2, CRITICAL: 0)

+---------------------+------------------+----------+---------+-------------------------+
|       LIBRARY       | VULNERABILITY ID | SEVERITY | VERSION |             TITLE       |
+---------------------+------------------+----------+---------+-------------------------+
| object-path         | CVE-2020-15256   | HIGH     | 0.11.4  | Prototype pollution in  |
|                     |                  |          |         | object-path             |
+---------------------+------------------+          +---------+-------------------------+
| tree-kill           | CVE-2019-15599   |          | 1.2.2   | Code Injection          |
+---------------------+------------------+----------+---------+-------------------------+
| webpack-subresource | CVE-2020-15262   | LOW      | 1.4.1   | Unprotected dynamically |
|                     |                  |          |         | loaded chunks           |
+---------------------+------------------+----------+---------+-------------------------+

juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)

...

juice-shop/package-lock.json
============================
Total: 5 (CRITICAL: 5)

...
[+] Removing left-overs
[+] Making the output look pretty
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

תמונת Docker עם כל כלי השירות

כחלופה שלישית, הרכבתי שני Dockerfiles פשוטים כדי ליצור תמונה עם כלי אבטחה. Dockerfile אחד יעזור לבנות סט לסריקת תמונה ממאגר, השני (Dockerfile_tar) יעזור לבנות סט לסריקת קובץ tar עם תמונה.

1. קח את קובץ ה-Docker התואם ואת הסקריפטים מהמאגר https://github.com/Swordfish-Security/docker_cicd/tree/master/Dockerfile.
2. אנו משיקים אותו להרכבה:

docker build -t dscan:image -f docker_security.df .

3. לאחר סיום ההרכבה, אנו יוצרים מיכל מהתמונה. במקביל, אנו מעבירים את משתנה הסביבה DOCKERIMAGE עם שם התמונה שאנו מעוניינים בה ומעלים את ה- Dockerfile אותו אנו רוצים לנתח מהמכונה שלנו לקובץ /Dockerfile (שים לב שהנתיב המוחלט לקובץ זה נדרש):

docker run --rm -v $(pwd)/results:/results -v $(pwd)/docker_security.df:/Dockerfile -e DOCKERIMAGE="bkimminich/juice-shop" dscan:image


[+] Setting environment variables
[+] Running Hadolint
/Dockerfile:3 DL3006 Always tag the version of an image explicitly
[+] Running Dockle
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO    - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
        * not found HEALTHCHECK statement
INFO    - DKL-LI-0003: Only put necessary files
        * unnecessary file : juice-shop/node_modules/sqlite3/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm64/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm/Dockerfile
[+] Running Trivy
...
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
[+] Making the output look pretty
[+] Starting the main module ============================================================
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

ממצאים

בדקנו רק סט בסיסי אחד של כלי עזר לסריקת חפצי Docker, אשר, לדעתי, מכסה ביעילות רבה חלק הגון מדרישות אבטחת התמונה. יש גם מספר רב של כלים בתשלום וחינמי שיכולים לבצע את אותן בדיקות, לצייר דוחות יפים או לעבוד אך ורק במצב קונסולה, מערכות ניהול מכולה לכיסוי וכו'. סקירה כללית של כלים אלה וכיצד לשלב אותם עשויה להופיע מעט מאוחר יותר .

הדבר הטוב בסט הכלים המתואר במאמר זה הוא שכולם הם בקוד פתוח ותוכלו להתנסות בהם ובכלים דומים אחרים כדי למצוא את מה שמתאים לצרכים ולתשתית שלכם. כמובן, יש לחקור את כל הפגיעויות שנמצאות לצורך יישום בתנאים ספציפיים, אבל זה נושא למאמר גדול עתידי.

אני מקווה שהמדריך הזה, הסקריפטים וכלי השירות יעזרו לך ויהפכו לנקודת מוצא ליצירת תשתית מאובטחת יותר בתחום המכולות.

מקור: www.habr.com

שיטות ודוגמאות ליישום של כלי עזר לבדיקת אבטחה של Docker