ហេហេ!

នៅក្នុងការពិតនាពេលបច្ចុប្បន្ននេះ ដោយសារតែការកើនឡើងនូវតួនាទីនៃកុងតឺន័រនៅក្នុងដំណើរការអភិវឌ្ឍន៍ បញ្ហានៃការធានាសុវត្ថិភាពនៃដំណាក់កាលផ្សេងៗ និងអង្គភាពដែលពាក់ព័ន្ធជាមួយកុងតឺន័រគឺមិនស្ថិតនៅកន្លែងចុងក្រោយនោះទេ។ ការអនុវត្តការត្រួតពិនិត្យដោយដៃគឺជាការងារដ៏លំបាក ដូច្នេះវាជាការប្រសើរណាស់ក្នុងការចាត់វិធានការយ៉ាងហោចណាស់ជំហានដំបូងឆ្ពោះទៅរកដំណើរការនេះដោយស្វ័យប្រវត្តិ។

នៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងចែករំលែកស្គ្រីបដែលត្រៀមរួចជាស្រេចសម្រាប់ការអនុវត្តឧបករណ៍ប្រើប្រាស់សុវត្ថិភាព Docker ជាច្រើន និងការណែនាំអំពីរបៀបរៀបចំការសាកល្បងតូចមួយដើម្បីសាកល្បងដំណើរការនេះ។ អ្នក​អាច​ប្រើ​សម្ភារ​ដើម្បី​ពិសោធន៍​ជាមួយ​នឹង​របៀប​រៀបចំ​ដំណើរការ​សាកល្បង​សុវត្ថិភាព​នៃ​រូបភាព Dockerfile និង​ការណែនាំ។ វាច្បាស់ណាស់ថាហេដ្ឋារចនាសម្ព័ន្ធនៃការអភិវឌ្ឍន៍ និងការអនុវត្តគឺខុសគ្នាសម្រាប់មនុស្សគ្រប់គ្នា ដូច្នេះខាងក្រោមនេះខ្ញុំនឹងផ្តល់ជម្រើសជាច្រើនដែលអាចធ្វើទៅបាន។

ឧបករណ៍ប្រើប្រាស់ត្រួតពិនិត្យសុវត្ថិភាព

មានកម្មវិធីជំនួយ និងស្គ្រីបមួយចំនួនធំដែលធ្វើការត្រួតពិនិត្យលើទិដ្ឋភាពផ្សេងៗនៃហេដ្ឋារចនាសម្ព័ន្ធ Docker ។ ពួកវាខ្លះត្រូវបានពិពណ៌នារួចហើយនៅក្នុងអត្ថបទមុន (https://habr.com/ru/company/swordfish_security/blog/518758/#docker-security) ហើយនៅក្នុងអត្ថបទនេះ ខ្ញុំចង់ផ្តោតលើបីនៃពួកវា ដែលគ្របដណ្តប់ភាគច្រើននៃតម្រូវការសុវត្ថិភាពសម្រាប់រូបភាព Docker ដែលត្រូវបានបង្កើតឡើងក្នុងអំឡុងពេលដំណើរការអភិវឌ្ឍន៍។ លើសពីនេះ ខ្ញុំនឹងបង្ហាញឧទាហរណ៍អំពីរបៀបដែលឧបករណ៍ប្រើប្រាស់ទាំងបីនេះអាចត្រូវបានបញ្ចូលគ្នាទៅក្នុងបំពង់តែមួយ ដើម្បីអនុវត្តការត្រួតពិនិត្យសុវត្ថិភាព។

ហាដូលីន
https://github.com/hadolint/hadolint

ឧបករណ៍ប្រើប្រាស់កុងសូលដ៏សាមញ្ញដែលជួយវាយតម្លៃពីភាពត្រឹមត្រូវ និងសុវត្ថិភាពនៃការណែនាំ Dockerfile ជាដំបូង (ឧទាហរណ៍ ប្រើតែការចុះឈ្មោះរូបភាពដែលបានអនុញ្ញាត ឬប្រើ sudo)។

ចត
https://github.com/goodwithtech/dockle

ឧបករណ៍ប្រើប្រាស់កុងសូលដែលដំណើរការលើរូបភាព (ឬនៅលើផ្ទាំងរូបភាពដែលបានរក្សាទុក) ដែលពិនិត្យភាពត្រឹមត្រូវ និងសុវត្ថិភាពនៃរូបភាពជាក់លាក់មួយ ដូចនេះដោយការវិភាគស្រទាប់ និងការកំណត់របស់វា - អ្វីដែលអ្នកប្រើត្រូវបានបង្កើត ការណែនាំអ្វីដែលកំពុងប្រើ បរិមាណត្រូវបានម៉ោន វត្តមាននៃពាក្យសម្ងាត់ទទេ។ CIS (Center for Internet Security) Benchmark សម្រាប់ docker ។


មិនស្មោះត្រង់
https://github.com/aquasecurity/trivy

ឧបករណ៍ប្រើប្រាស់នេះមានគោលបំណងស្វែងរកភាពងាយរងគ្រោះពីរប្រភេទ - បញ្ហាបង្កើត OS (Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu ត្រូវបានគាំទ្រ) និងបញ្ហាអាស្រ័យ (Gemfile.lock, Pipfile.lock, composer.lock, package-lock .json, yarn.lock, Cargo.lock)។ Trivy អាចស្កេនទាំងរូបភាពនៅក្នុងឃ្លាំង និងរូបភាពក្នុងតំបន់ ហើយក៏អាចស្កេនដោយផ្អែកលើឯកសារ .tar ដែលបានផ្ទេរជាមួយរូបភាព Docker ផងដែរ។

ជម្រើសនៃការអនុវត្តឧបករណ៍ប្រើប្រាស់

ដើម្បីសាកល្បងកម្មវិធីដែលបានពិពណ៌នានៅក្នុងលក្ខខណ្ឌដាច់ឆ្ងាយ ខ្ញុំនឹងផ្តល់ការណែនាំសម្រាប់ការដំឡើងឧបករណ៍ប្រើប្រាស់ទាំងអស់ជាផ្នែកនៃដំណើរការសាមញ្ញមួយ។

គំនិតចម្បងគឺដើម្បីបង្ហាញពីរបៀបដែលអ្នកអាចអនុវត្តការផ្ទៀងផ្ទាត់មាតិកាដោយស្វ័យប្រវត្តិនៃ Dockerfiles និងរូបភាព Docker ដែលត្រូវបានបង្កើតឡើងកំឡុងពេលអភិវឌ្ឍ។

ការផ្ទៀងផ្ទាត់ខ្លួនឯងមានជំហានដូចខាងក្រោមៈ

1. ពិនិត្យមើលភាពត្រឹមត្រូវ និងសុវត្ថិភាពនៃការណែនាំ Dockerfile ជាមួយនឹងឧបករណ៍ប្រើប្រាស់ linter ហាដូលីន
2. ពិនិត្យមើលភាពត្រឹមត្រូវនិងសុវត្ថិភាពនៃរូបភាពចុងក្រោយនិងមធ្យម - ឧបករណ៍ប្រើប្រាស់មួយ។ ចត
3. ពិនិត្យរកភាពងាយរងគ្រោះដែលគេស្គាល់ជាទូទៅ (CVE) នៅក្នុងរូបភាពមូលដ្ឋាន និងមួយចំនួននៃភាពអាស្រ័យ - ដោយឧបករណ៍ប្រើប្រាស់ មិនស្មោះត្រង់

អត្ថបទបន្ទាប់ខ្ញុំនឹងផ្តល់ជម្រើសបីសម្រាប់អនុវត្តជំហានទាំងនេះ៖
ទីមួយគឺដោយកំណត់រចនាសម្ព័ន្ធបំពង់ CI / CD ដោយប្រើឧទាហរណ៍របស់ GitLab (ជាមួយនឹងការពិពណ៌នាអំពីដំណើរការនៃការបង្កើនឧទាហរណ៍សាកល្បង) ។
ទីពីរគឺប្រើស្គ្រីបសែល។
ទីបីគឺជាមួយនឹងការបង្កើតរូបភាព Docker ដើម្បីស្កេនរូបភាព Docker ។
អ្នកអាចជ្រើសរើសជម្រើសដែលសាកសមនឹងអ្នកបំផុត ផ្ទេរវាទៅហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នក ហើយសម្របវាទៅតាមតម្រូវការរបស់អ្នក។

ឯកសារចាំបាច់ទាំងអស់ និងការណែនាំបន្ថែមក៏មាននៅក្នុងឃ្លាំងផងដែរ៖ https://github.com/Swordfish-Security/docker_cicd

ការរួមបញ្ចូល GitLab CI/CD

នៅក្នុងជម្រើសទីមួយ យើងនឹងពិនិត្យមើលពីរបៀបដែលការត្រួតពិនិត្យសុវត្ថិភាពអាចត្រូវបានអនុវត្តដោយប្រើប្រព័ន្ធផ្ទុក GitLab ជាឧទាហរណ៍មួយ។ នៅទីនេះយើងនឹងឆ្លងកាត់ជំហាន និងមើលពីរបៀបរៀបចំបរិយាកាសសាកល្បងជាមួយ GitLab ពីដំបូង បង្កើតដំណើរការស្កេន និងដំណើរការឧបករណ៍ប្រើប្រាស់ដើម្បីសាកល្បង Dockerfile សាកល្បង និងរូបភាពចៃដន្យ - កម្មវិធី JuiceShop ។

ការដំឡើង GitLab
1. ដំឡើង Docker៖

sudo apt-get update && sudo apt-get install docker.io

2. បន្ថែមអ្នកប្រើប្រាស់បច្ចុប្បន្នទៅក្រុម docker ដូច្នេះអ្នកអាចធ្វើការជាមួយ docker ដោយមិនប្រើ sudo៖

sudo addgroup <username> docker

3. ស្វែងរក IP របស់អ្នក៖

ip addr

4. ដំឡើង និងដំណើរការ GitLab នៅក្នុងកុងតឺន័រ ដោយជំនួសអាសយដ្ឋាន IP ជា hostname របស់អ្នក៖

docker run --detach 
--hostname 192.168.1.112 
--publish 443:443 --publish 80:80 
--name gitlab 
--restart always 
--volume /srv/gitlab/config:/etc/gitlab 
--volume /srv/gitlab/logs:/var/log/gitlab 
--volume /srv/gitlab/data:/var/opt/gitlab 
gitlab/gitlab-ce:latest

យើងកំពុងរង់ចាំ GitLab ដើម្បីបញ្ចប់នីតិវិធីដំឡើងចាំបាច់ទាំងអស់ (អ្នកអាចអនុវត្តតាមដំណើរការតាមរយៈលទ្ធផលនៃឯកសារកំណត់ហេតុ៖ docker logs -f gitlab) ។

5. បើក IP មូលដ្ឋានរបស់អ្នកនៅក្នុងកម្មវិធីរុករក ហើយមើលទំព័រដែលផ្តល់ជូនដើម្បីផ្លាស់ប្តូរពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ root៖

កំណត់ពាក្យសម្ងាត់ថ្មី ហើយចូលទៅកាន់ GitLab ។

6. បង្កើតគម្រោងថ្មី ឧទាហរណ៍ cicd-test ហើយចាប់ផ្តើមវាជាមួយឯកសារចាប់ផ្តើម README.md:

7. ឥឡូវនេះយើងត្រូវដំឡើង GitLab Runner: ភ្នាក់ងារដែលនឹងដំណើរការប្រតិបត្តិការចាំបាច់ទាំងអស់តាមការស្នើសុំ។
ទាញយកកំណែចុងក្រោយបំផុត (ក្នុងករណីនេះនៅក្រោមលីនុច 64 ប៊ីត)៖

sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd64

8. ធ្វើឱ្យវាអាចប្រតិបត្តិបាន៖

sudo chmod +x /usr/local/bin/gitlab-runner

9. បន្ថែមអ្នកប្រើប្រាស់ OS សម្រាប់ Runner ហើយចាប់ផ្តើមសេវាកម្ម៖

sudo useradd --comment 'GitLab Runner' --create-home gitlab-runner --shell /bin/bash
sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
sudo gitlab-runner start

វាគួរតែមើលទៅដូចនេះ៖

local@osboxes:~$ sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
Runtime platform arch=amd64 os=linux pid=8438 revision=0e5417a3 version=12.0.1
local@osboxes:~$ sudo gitlab-runner start
Runtime platform arch=amd64 os=linux pid=8518 revision=0e5417a3 version=12.0.1

10. ឥឡូវនេះយើងចុះឈ្មោះ Runner ដើម្បីឱ្យវាអាចធ្វើអន្តរកម្មជាមួយឧទាហរណ៍ GitLab របស់យើង។
ដើម្បីធ្វើដូចនេះបើកទំព័រ Settings-CI/CD (http://OUR_ IP_ADDRESS/root/cicd-test/-/settings/ci_cd) ហើយនៅលើផ្ទាំង Runners ស្វែងរក URL និងសញ្ញាសម្គាល់ការចុះឈ្មោះ៖

11. ចុះឈ្មោះអ្នករត់ការដោយជំនួស URL និងសញ្ញាសម្គាល់ការចុះឈ្មោះ៖

sudo gitlab-runner register 
--non-interactive 
--url "http://<URL>/" 
--registration-token "<Registration Token>" 
--executor "docker" 
--docker-privileged 
--docker-image alpine:latest 
--description "docker-runner" 
--tag-list "docker,privileged" 
--run-untagged="true" 
--locked="false" 
--access-level="not_protected"

ជាលទ្ធផល យើងទទួលបាន GitLab ដែលកំពុងដំណើរការដែលត្រៀមរួចជាស្រេច ដែលយើងត្រូវបន្ថែមការណែនាំដើម្បីចាប់ផ្តើមឧបករណ៍ប្រើប្រាស់របស់យើង។ នៅក្នុងការបង្ហាញនេះ យើងមិនមានជំហានបង្កើតកម្មវិធី និងកុងតឺន័រទេ ប៉ុន្តែនៅក្នុងបរិយាកាសជាក់ស្តែង ពួកគេនឹងនាំមុខជំហានស្កេន និងបង្កើតរូបភាព និង Dockerfile សម្រាប់ការវិភាគ។

ការកំណត់រចនាសម្ព័ន្ធបំពង់

1. បន្ថែមឯកសារទៅឃ្លាំង mydockerfile.df (នេះគឺជា Dockerfile សាកល្បងដែលយើងនឹងសាកល្បង) និងឯកសារកំណត់រចនាសម្ព័ន្ធដំណើរការ GitLab CI/CD .gitlab-cicd.ymlដែលរាយបញ្ជីការណែនាំសម្រាប់ម៉ាស៊ីនស្កេន (ចំណាំចំណុចក្នុងឈ្មោះឯកសារ)។

ឯកសារកំណត់រចនាសម្ព័ន្ធ YAML មានការណែនាំដើម្បីដំណើរការឧបករណ៍ប្រើប្រាស់ចំនួនបី (Hadolint, Dockle និង Trivy) ដែលនឹងវិភាគ Dockerfile ដែលបានជ្រើសរើស និងរូបភាពដែលបានបញ្ជាក់នៅក្នុងអថេរ DOCKERFILE ។ ឯកសារចាំបាច់ទាំងអស់អាចត្រូវបានយកចេញពីឃ្លាំង៖ https://github.com/Swordfish-Security/docker_cicd/

ដកស្រង់ចេញពី mydockerfile.df (នេះ​ជា​ឯកសារ​អរូបី​ដែល​មាន​សំណុំ​នៃ​ការ​ណែនាំ​ដោយ​បំពាន​ដើម្បី​បង្ហាញ​ពី​របៀប​ដែល​ឧបករណ៍​ប្រើប្រាស់​ដំណើរការ)។ តំណផ្ទាល់ទៅកាន់ឯកសារ៖ mydockerfile.df

ខ្លឹមសារនៃ mydockerfile.df

FROM amd64/node:10.16.0-alpine@sha256:f59303fb3248e5d992586c76cc83e1d3700f641cbcd7c0067bc7ad5bb2e5b489 AS tsbuild
COPY package.json .
COPY yarn.lock .
RUN yarn install
COPY lib lib
COPY tsconfig.json tsconfig.json
COPY tsconfig.app.json tsconfig.app.json
RUN yarn build
FROM amd64/ubuntu:18.04@sha256:eb70667a801686f914408558660da753cde27192cd036148e58258819b927395
LABEL maintainer="Rhys Arkins <[email protected]>"
LABEL name="renovate"
...
COPY php.ini /usr/local/etc/php/php.ini
RUN cp -a /tmp/piik/* /var/www/html/
RUN rm -rf /tmp/piwik
RUN chown -R www-data /var/www/html
ADD piwik-cli-setup /piwik-cli-setup
ADD reset.php /var/www/html/
## ENTRYPOINT ##
ADD entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
USER root

ការកំណត់រចនាសម្ព័ន្ធ YAML មើលទៅដូចនេះ (ឯកសារខ្លួនឯងអាចត្រូវបានយកចេញពីតំណផ្ទាល់នៅទីនេះ៖ .gitlab-ci.yml):

ខ្លឹមសារនៃ .gitlab-ci.yml

variables:
    DOCKER_HOST: "tcp://docker:2375/"
    DOCKERFILE: "mydockerfile.df" # name of the Dockerfile to analyse   
    DOCKERIMAGE: "bkimminich/juice-shop" # name of the Docker image to analyse
    # DOCKERIMAGE: "knqyf263/cve-2018-11235" # test Docker image with several CRITICAL CVE
    SHOWSTOPPER_PRIORITY: "CRITICAL" # what level of criticality will fail Trivy job
    TRIVYCACHE: "$CI_PROJECT_DIR/.cache" # where to cache Trivy database of vulnerabilities for faster reuse
    ARTIFACT_FOLDER: "$CI_PROJECT_DIR"
 
services:
    - docker:dind # to be able to build docker images inside the Runner
 
stages:
    - scan
    - report
    - publish
 
HadoLint:
    # Basic lint analysis of Dockerfile instructions
    stage: scan
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/hadolint_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/hadolint/hadolint/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/hadolint/hadolint/releases/download/v${VERSION}/hadolint-Linux-x86_64 && chmod +x hadolint-Linux-x86_64
     
    # NB: hadolint will always exit with 0 exit code
    - ./hadolint-Linux-x86_64 -f json $DOCKERFILE > $ARTIFACT_FOLDER/hadolint_results.json || exit 0
 
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/hadolint_results.json
 
Dockle:
    # Analysing best practices about docker image (users permissions, instructions followed when image was built, etc.)
    stage: scan   
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/dockle_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/goodwithtech/dockle/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.tar.gz && tar zxf dockle_${VERSION}_Linux-64bit.tar.gz
    - ./dockle --exit-code 1 -f json --output $ARTIFACT_FOLDER/dockle_results.json $DOCKERIMAGE   
     
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/dockle_results.json
 
Trivy:
    # Analysing docker image and package dependencies against several CVE bases
    stage: scan   
    image: docker:git
 
    script:
    # getting the latest Trivy
    - apk add rpm
    - export VERSION=$(wget -q -O - https://api.github.com/repos/knqyf263/trivy/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/knqyf263/trivy/releases/download/v${VERSION}/trivy_${VERSION}_Linux-64bit.tar.gz && tar zxf trivy_${VERSION}_Linux-64bit.tar.gz
     
    # displaying all vulnerabilities w/o failing the build
    - ./trivy -d --cache-dir $TRIVYCACHE -f json -o $ARTIFACT_FOLDER/trivy_results.json --exit-code 0 $DOCKERIMAGE    
    
    # write vulnerabilities info to stdout in human readable format (reading pure json is not fun, eh?). You can remove this if you don't need this.
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 0 $DOCKERIMAGE    
 
    # failing the build if the SHOWSTOPPER priority is found
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 1 --severity $SHOWSTOPPER_PRIORITY --quiet $DOCKERIMAGE
         
    artifacts:
        when: always # return artifacts even after job failure
        paths:
        - $ARTIFACT_FOLDER/trivy_results.json
 
    cache:
        paths:
        - .cache
 
Report:
    # combining tools outputs into one HTML
    stage: report
    when: always
    image: python:3.5
     
    script:
    - mkdir json
    - cp $ARTIFACT_FOLDER/*.json ./json/
    - pip install json2html
    - wget https://raw.githubusercontent.com/shad0wrunner/docker_cicd/master/convert_json_results.py
    - python ./convert_json_results.py
     
    artifacts:
        paths:
        - results.html

បើចាំបាច់ អ្នកក៏អាចស្កេនរូបភាពដែលបានរក្សាទុកជាបណ្ណសារ .tar ផងដែរ (ទោះជាយ៉ាងណាក៏ដោយ អ្នកនឹងត្រូវផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្របញ្ចូលសម្រាប់ឧបករណ៍ប្រើប្រាស់ក្នុងឯកសារ YAML)

NB: Trivy ទាមទារដំឡើង rpm и Git. បើមិនដូច្នេះទេ វានឹងបង្កើតកំហុសនៅពេលស្កេនរូបភាពដែលមានមូលដ្ឋានលើ RedHat និងទទួលបានបច្ចុប្បន្នភាពទៅមូលដ្ឋានទិន្នន័យភាពងាយរងគ្រោះ។

2. បន្ទាប់ពីបន្ថែមឯកសារទៅឃ្លាំង យោងទៅតាមការណែនាំនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធរបស់យើង GitLab នឹងចាប់ផ្តើមដំណើរការសាងសង់ និងស្កេនដោយស្វ័យប្រវត្តិ។ នៅលើផ្ទាំង CI/CD → Pipelines អ្នកអាចឃើញវឌ្ឍនភាពនៃការណែនាំ។

ជាលទ្ធផលយើងមានភារកិច្ចចំនួនបួន។ ពួកគេបីនាក់ជាប់ពាក់ព័ន្ធដោយផ្ទាល់ក្នុងការស្កេន ហើយចុងក្រោយ (របាយការណ៍) ប្រមូលរបាយការណ៍សាមញ្ញមួយពីឯកសារដែលខ្ចាត់ខ្ចាយជាមួយនឹងលទ្ធផលស្កេន។

តាមលំនាំដើម Trivy បញ្ឈប់ការប្រតិបត្តិរបស់វា ប្រសិនបើភាពងាយរងគ្រោះ CRITICAL ត្រូវបានរកឃើញនៅក្នុងរូបភាព ឬភាពអាស្រ័យ។ ក្នុងពេលជាមួយគ្នានេះ Hadolint តែងតែត្រឡប់មកវិញនូវភាពជោគជ័យនៅក្នុងកូដប្រតិបត្តិ ចាប់តាំងពីការប្រតិបត្តិរបស់វាតែងតែមានការកត់សម្គាល់ ដែលបណ្តាលឱ្យការស្ថាបនាត្រូវបញ្ឈប់។

អាស្រ័យលើតម្រូវការជាក់លាក់របស់អ្នក អ្នកអាចកំណត់រចនាសម្ព័ន្ធកូដចេញ ដូច្នេះឧបករណ៍ប្រើប្រាស់ទាំងនេះក៏បញ្ឈប់ដំណើរការសាងសង់ផងដែរ នៅពេលដែលបញ្ហានៃការរិះគន់ជាក់លាក់មួយត្រូវបានរកឃើញ។ ក្នុងករណីរបស់យើង ការស្ថាបនានឹងបញ្ឈប់លុះត្រាតែ Trivy រកឃើញភាពងាយរងគ្រោះជាមួយនឹងភាពធ្ងន់ធ្ងរដែលយើងបានបញ្ជាក់នៅក្នុងអថេរ SHOWSTOPPER នៅក្នុង .gitlab-ci.yml.


លទ្ធផលនៃប្រតិបត្តិការរបស់ឧបករណ៍ប្រើប្រាស់នីមួយៗអាចត្រូវបានមើលនៅក្នុងកំណត់ហេតុនៃកិច្ចការស្កេននីមួយៗដោយផ្ទាល់នៅក្នុងឯកសារ json នៅក្នុងផ្នែកវត្ថុបុរាណ ឬនៅក្នុងរបាយការណ៍ HTML សាមញ្ញ (បន្ថែមលើវាខាងក្រោម)៖


3. ដើម្បីបង្ហាញរបាយការណ៍ឧបករណ៍ប្រើប្រាស់ក្នុងទម្រង់ដែលមនុស្សអាចអានបានបន្តិច ស្គ្រីប Python តូចមួយត្រូវបានប្រើដើម្បីបំប្លែងឯកសារ json បីទៅជាឯកសារ HTML តែមួយដែលមានតារាងពិការភាព។
ស្គ្រីបនេះត្រូវបានចាប់ផ្តើមដោយកិច្ចការរាយការណ៍ដាច់ដោយឡែក ហើយវត្ថុបុរាណចុងក្រោយរបស់វាគឺឯកសារ HTML ដែលមានរបាយការណ៍។ ប្រភពស្គ្រីបក៏មាននៅក្នុងឃ្លាំងដែរ ហើយអាចប្រែប្រួលទៅតាមតម្រូវការរបស់អ្នក ពណ៌ជាដើម។

ស្គ្រីបសែល

ជម្រើសទីពីរគឺសមរម្យសម្រាប់ករណីដែលអ្នកត្រូវពិនិត្យមើលរូបភាព Docker មិននៅក្នុងប្រព័ន្ធ CI/CD ឬអ្នកត្រូវមានការណែនាំទាំងអស់ក្នុងទម្រង់ដែលអាចប្រតិបត្តិដោយផ្ទាល់លើម៉ាស៊ីន។ ជម្រើសនេះត្រូវបានគ្របដណ្តប់ដោយស្គ្រីបសែលដែលត្រៀមរួចជាស្រេចដែលអាចដំណើរការនៅលើម៉ាស៊ីននិម្មិតស្អាត (ឬសូម្បីតែពិតប្រាកដ) ។ ស្គ្រីបធ្វើតាមការណែនាំដូចគ្នានឹង gitlab-runner ខាងលើ។

ដើម្បីឱ្យស្គ្រីបដំណើរការដោយជោគជ័យ Docker ត្រូវតែត្រូវបានដំឡើងនៅលើប្រព័ន្ធ ហើយអ្នកប្រើប្រាស់បច្ចុប្បន្នត្រូវតែស្ថិតនៅក្នុងក្រុម docker ។

ស្គ្រីបខ្លួនវាអាចរកបាននៅទីនេះ៖ docker_sec_check.sh

នៅដើមឯកសារ អថេរ​បញ្ជាក់​ថា​រូបភាព​មួយណា​គួរ​ត្រូវ​បាន​ស្កែន ហើយ​ភាព​ធ្ងន់ធ្ងរ​នៃ​ពិការភាព​នឹង​ធ្វើ​ឱ្យ​ឧបករណ៍​ប្រើប្រាស់ Trivy ចេញ​ដោយ​កូដ​កំហុស​ដែល​បាន​បញ្ជាក់។

ក្នុងអំឡុងពេលដំណើរការស្គ្រីប ឧបករណ៍ប្រើប្រាស់ទាំងអស់នឹងត្រូវបានទាញយកទៅថត docker_tools, លទ្ធផលនៃការងាររបស់ពួកគេ - នៅក្នុងថត docker_tools/jsonហើយ HTML ដែលមានរបាយការណ៍នឹងមាននៅក្នុងឯកសារ results.html.

ឧទាហរណ៍លទ្ធផលស្គ្រីប

~/docker_cicd$ ./docker_sec_check.sh

[+] Setting environment variables
[+] Installing required packages
[+] Preparing necessary directories
[+] Fetching sample Dockerfile
2020-10-20 10:40:00 (45.3 MB/s) - ‘Dockerfile’ saved [8071/8071]
[+] Pulling image to scan
latest: Pulling from bkimminich/juice-shop
[+] Running Hadolint
...
Dockerfile:205 DL3015 Avoid additional packages by specifying `--no-install-recommends`
Dockerfile:248 DL3002 Last USER should not be root
...
[+] Running Dockle
...
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
...
[+] Running Trivy
juice-shop/frontend/package-lock.json
=====================================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 2, CRITICAL: 0)

+---------------------+------------------+----------+---------+-------------------------+
|       LIBRARY       | VULNERABILITY ID | SEVERITY | VERSION |             TITLE       |
+---------------------+------------------+----------+---------+-------------------------+
| object-path         | CVE-2020-15256   | HIGH     | 0.11.4  | Prototype pollution in  |
|                     |                  |          |         | object-path             |
+---------------------+------------------+          +---------+-------------------------+
| tree-kill           | CVE-2019-15599   |          | 1.2.2   | Code Injection          |
+---------------------+------------------+----------+---------+-------------------------+
| webpack-subresource | CVE-2020-15262   | LOW      | 1.4.1   | Unprotected dynamically |
|                     |                  |          |         | loaded chunks           |
+---------------------+------------------+----------+---------+-------------------------+

juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)

...

juice-shop/package-lock.json
============================
Total: 5 (CRITICAL: 5)

...
[+] Removing left-overs
[+] Making the output look pretty
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

រូបភាព Docker ជាមួយឧបករណ៍ប្រើប្រាស់ទាំងអស់។

ជាជម្រើសទីបី ខ្ញុំបានចងក្រងឯកសារ Dockerfiles សាមញ្ញចំនួនពីរដើម្បីបង្កើតរូបភាពជាមួយនឹងឧបករណ៍ប្រើប្រាស់សុវត្ថិភាព។ Dockerfile មួយនឹងជួយបង្កើតសំណុំដើម្បីស្កេនរូបភាពពីឃ្លាំង ទីពីរ (Dockerfile_tar) នឹងបង្កើតសំណុំដើម្បីស្កេនឯកសារ tar ជាមួយរូបភាព។

1. យកឯកសារ Docker និងស្គ្រីបដែលត្រូវគ្នាពីឃ្លាំង https://github.com/Swordfish-Security/docker_cicd/tree/master/Dockerfile.
2. ដំណើរការវាសម្រាប់ការជួបប្រជុំគ្នា៖

docker build -t dscan:image -f docker_security.df .

3. បនា្ទាប់ពីការសាងសង់រួចរាល់ សូមបង្កើតធុងមួយពីរូបភាព។ ក្នុងពេលជាមួយគ្នានេះ យើងឆ្លងកាត់អថេរបរិស្ថាន DOCKERIMAGE ជាមួយនឹងឈ្មោះរូបភាពដែលយើងចាប់អារម្មណ៍ ហើយភ្ជាប់ Dockerfile ដែលយើងចង់វិភាគពីម៉ាស៊ីនរបស់យើងទៅឯកសារ។ /dockerfile (ចំណាំថាផ្លូវដាច់ខាតទៅកាន់ឯកសារនេះត្រូវបានទាមទារ)៖

docker run --rm -v $(pwd)/results:/results -v $(pwd)/docker_security.df:/Dockerfile -e DOCKERIMAGE="bkimminich/juice-shop" dscan:image

[+] Setting environment variables
[+] Running Hadolint
/Dockerfile:3 DL3006 Always tag the version of an image explicitly
[+] Running Dockle
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO    - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
        * not found HEALTHCHECK statement
INFO    - DKL-LI-0003: Only put necessary files
        * unnecessary file : juice-shop/node_modules/sqlite3/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm64/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm/Dockerfile
[+] Running Trivy
...
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
[+] Making the output look pretty
[+] Starting the main module ============================================================
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

Результаты

យើងបានគ្របដណ្ដប់លើសំណុំមូលដ្ឋានមួយនៃឧបករណ៍ស្កេនវត្ថុបុរាណ Docker ដែលខ្ញុំគិតថាគ្របដណ្តប់ផ្នែកដ៏ល្អនៃតម្រូវការសុវត្ថិភាពរូបភាពយ៉ាងមានប្រសិទ្ធភាព។ មានឧបករណ៍បង់ប្រាក់ និងឥតគិតថ្លៃជាច្រើនទៀតដែលអាចធ្វើការត្រួតពិនិត្យដូចគ្នា គូររបាយការណ៍ដ៏ស្រស់ស្អាត ឬដំណើរការសុទ្ធសាធក្នុងរបៀបកុងសូល ប្រព័ន្ធគ្រប់គ្រងកុងតឺន័រ ជាដើម។ ទិដ្ឋភាពទូទៅនៃឧបករណ៍ទាំងនេះ និងរបៀបរួមបញ្ចូលពួកវាអាចបង្ហាញនៅពេលក្រោយបន្តិច។

ផ្នែកវិជ្ជមាននៃសំណុំឧបករណ៍ដែលបានពិពណ៌នានៅក្នុងអត្ថបទគឺថាពួកវាទាំងអស់ត្រូវបានបង្កើតឡើងនៅលើប្រភពបើកចំហ ហើយអ្នកអាចពិសោធន៍ជាមួយពួកវា និងឧបករណ៍ស្រដៀងគ្នាផ្សេងទៀតដើម្បីស្វែងរកអ្វីដែលសាកសមនឹងតម្រូវការ និងលក្ខណៈហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នក។ ជាការពិតណាស់ ភាពងាយរងគ្រោះទាំងអស់ដែលត្រូវបានរកឃើញគួរតែត្រូវបានសិក្សាសម្រាប់ការអនុវត្តក្នុងលក្ខខណ្ឌជាក់លាក់ ប៉ុន្តែនេះគឺជាប្រធានបទសម្រាប់អត្ថបទដ៏ធំមួយនាពេលអនាគត។

ខ្ញុំសង្ឃឹមថាមគ្គុទ្ទេសក៍នេះ ស្គ្រីប និងឧបករណ៍ប្រើប្រាស់នឹងជួយអ្នក និងក្លាយជាចំណុចចាប់ផ្តើមសម្រាប់ការបង្កើតហេដ្ឋារចនាសម្ព័ន្ធដែលមានសុវត្ថិភាពជាងមុននៅក្នុងតំបន់នៃការកុងតឺន័រ។

ប្រភព: www.habr.com