Hey Habr!

ໃນຄວາມເປັນຈິງທີ່ທັນສະໄຫມ, ເນື່ອງຈາກພາລະບົດບາດຂະບວນການຂະບວນການພັດທະນາການເພີ່ມຂຶ້ນ, ບັນຫາການຮັບປະກັນຄວາມປອດໄພຂອງຂັ້ນຕອນຕ່າງໆແລະຫນ່ວຍງານທີ່ກ່ຽວຂ້ອງກັບຕູ້ບັນຈຸແມ່ນບໍ່ແມ່ນບັນຫາທີ່ສໍາຄັນຫນ້ອຍ. ການປະຕິບັດການກວດສອບຄູ່ມືແມ່ນໃຊ້ເວລາຫຼາຍ, ສະນັ້ນມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະເຮັດຢ່າງຫນ້ອຍຂັ້ນຕອນເບື້ອງຕົ້ນເພື່ອອັດຕະໂນມັດຂະບວນການນີ້.

ໃນບົດຄວາມນີ້, ຂ້ອຍຈະແບ່ງປັນສະຄິບທີ່ກຽມພ້ອມສໍາລັບການປະຕິບັດອຸປະກອນຄວາມປອດໄພ Docker ຫຼາຍອັນແລະຄໍາແນະນໍາກ່ຽວກັບວິທີການນໍາໃຊ້ຕົວສະແດງຕົວຢ່າງຂະຫນາດນ້ອຍເພື່ອທົດສອບຂະບວນການນີ້. ທ່ານສາມາດນໍາໃຊ້ອຸປະກອນການທົດລອງການຈັດຕັ້ງຂະບວນການຂອງການທົດສອບຄວາມປອດໄພຂອງຮູບພາບ Dockerfile ແລະຄໍາແນະນໍາ. ມັນເປັນທີ່ຊັດເຈນວ່າໂຄງສ້າງພື້ນຖານຂອງການພັດທະນາແລະການຈັດຕັ້ງປະຕິບັດຂອງທຸກໆຄົນແມ່ນແຕກຕ່າງກັນ, ດັ່ງນັ້ນຂ້າງລຸ່ມນີ້ຂ້ອຍຈະໃຫ້ທາງເລືອກທີ່ເປັນໄປໄດ້ຫຼາຍຢ່າງ.

ກວດສອບຄວາມປອດໄພອຸປະກອນ

ມີຫຼາຍຄໍາຮ້ອງສະຫມັກຕົວຊ່ວຍທີ່ແຕກຕ່າງກັນແລະສະຄິບທີ່ດໍາເນີນການກວດສອບດ້ານຕ່າງໆຂອງໂຄງສ້າງພື້ນຖານ Docker. ບາງສ່ວນຂອງພວກເຂົາໄດ້ຖືກອະທິບາຍແລ້ວໃນບົດຄວາມທີ່ຜ່ານມາ (https://habr.com/ru/company/swordfish_security/blog/518758/#docker-security), ແລະໃນເອກະສານນີ້ຂ້າພະເຈົ້າຢາກຈະເນັ້ນໃສ່ສາມຂອງພວກເຂົາ, ເຊິ່ງກວມເອົາສ່ວນໃຫຍ່ຂອງຄວາມຕ້ອງການຄວາມປອດໄພສໍາລັບຮູບພາບ Docker ທີ່ສ້າງຂຶ້ນໃນລະຫວ່າງຂະບວນການພັດທະນາ. ນອກຈາກນັ້ນ, ຂ້າພະເຈົ້າຍັງຈະສະແດງຕົວຢ່າງຂອງວິທີການສາມສິ່ງອໍານວຍຄວາມສະດວກເຫຼົ່ານີ້ສາມາດເຊື່ອມຕໍ່ເຂົ້າໄປໃນທໍ່ດຽວເພື່ອປະຕິບັດການກວດສອບຄວາມປອດໄພ.

ຮາໂດລິນ
https://github.com/hadolint/hadolint

ປະໂຫຍດຂອງຄອນໂຊນທີ່ງ່າຍດາຍທີ່ຊ່ວຍ, ເປັນການປະມານທໍາອິດ, ປະເມີນຄວາມຖືກຕ້ອງແລະຄວາມປອດໄພຂອງຄໍາແນະນໍາ Dockerfile (ຕົວຢ່າງ, ການນໍາໃຊ້ພຽງແຕ່ການລົງທະບຽນຮູບພາບຫຼືການນໍາໃຊ້ sudo).

Dockle
https://github.com/goodwithtech/dockle

console utility ທີ່ເຮັດວຽກກັບຮູບພາບ (ຫຼືກັບ tar archive ຂອງຮູບພາບໃດຫນຶ່ງ), ເຊິ່ງກວດສອບຄວາມຖືກຕ້ອງແລະຄວາມປອດໄພຂອງຮູບພາບສະເພາະໃດຫນຶ່ງເຊັ່ນນັ້ນ, ການວິເຄາະຊັ້ນແລະການຕັ້ງຄ່າຂອງມັນ - ຜູ້ໃຊ້ທີ່ຖືກສ້າງຂຶ້ນ, ຄໍາແນະນໍາໃດຖືກນໍາໃຊ້, ເຊິ່ງ. ປະລິມານຖືກຕິດຕັ້ງ, ມີລະຫັດຜ່ານຫວ່າງເປົ່າ, ແລະອື່ນໆ. d. ມາຮອດປັດຈຸບັນຈໍານວນຂອງການກວດສອບແມ່ນບໍ່ໃຫຍ່ຫຼາຍແລະແມ່ນອີງໃສ່ການກວດສອບແລະຄໍາແນະນໍາຂອງພວກເຮົາເອງຈໍານວນຫນຶ່ງ. CIS (ສູນຄວາມປອດໄພທາງອິນເຕີເນັດ) Benchmark ສໍາລັບ Docker.

ເລັກໆນ້ອຍໆ
https://github.com/aquasecurity/trivy

ຜົນປະໂຫຍດນີ້ມີຈຸດປະສົງເພື່ອຊອກຫາສອງປະເພດຂອງຊ່ອງໂຫວ່ - ບັນຫາກັບການກໍ່ສ້າງ OS (ສະຫນັບສະຫນູນໂດຍ Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu) ແລະບັນຫາກັບ dependencies (Gemfile.lock, Pipfile.lock, composer.lock, package -lock.json , yarn.lock, cargo.lock). Trivy ສາມາດສະແກນໄດ້ທັງຮູບພາບໃນ repository ແລະຮູບພາບທ້ອງຖິ່ນ, ແລະຍັງສາມາດສະແກນໂດຍອີງໃສ່ໄຟລ໌ .tar ທີ່ໂອນດ້ວຍຮູບພາບ Docker.

ທາງເລືອກໃນການປະຕິບັດອຸປະກອນ

ເພື່ອທົດລອງໃຊ້ຄໍາຮ້ອງສະຫມັກທີ່ອະທິບາຍໄວ້ໃນສະພາບແວດລ້ອມທີ່ໂດດດ່ຽວ, ຂ້ອຍຈະໃຫ້ຄໍາແນະນໍາໃນການຕິດຕັ້ງອຸປະກອນທັງຫມົດໃນຂະບວນການທີ່ງ່າຍດາຍບາງຢ່າງ.

ແນວຄວາມຄິດຕົ້ນຕໍແມ່ນເພື່ອສະແດງໃຫ້ເຫັນວິທີທີ່ທ່ານສາມາດປະຕິບັດການກວດສອບເນື້ອຫາອັດຕະໂນມັດຂອງ Dockerfiles ແລະຮູບພາບ Docker ທີ່ຖືກສ້າງຂື້ນໃນລະຫວ່າງການພັດທະນາ.

ການກວດສອບຕົວມັນເອງປະກອບດ້ວຍຂັ້ນຕອນຕໍ່ໄປນີ້:

ການກວດສອບຄວາມຖືກຕ້ອງແລະຄວາມປອດໄພຂອງຄໍາແນະນໍາ Dockerfile ໂດຍໃຊ້ linter utility ຮາໂດລິນ
ການກວດສອບຄວາມຖືກຕ້ອງແລະຄວາມປອດໄພຂອງຮູບພາບສຸດທ້າຍແລະລະດັບກາງໂດຍໃຊ້ປະໂຫຍດ Dockle
ການກວດສອບການປະກົດຕົວຂອງຊ່ອງໂຫວ່ທີ່ຮູ້ຈັກໂດຍສາທາລະນະ (CVE) ໃນຮູບພາບພື້ນຖານ ແລະຈໍານວນຂອງການເພິ່ງພາອາໄສ - ການນໍາໃຊ້ປະໂຫຍດ ເລັກໆນ້ອຍໆ

ຕໍ່ມາໃນບົດຄວາມຂ້າພະເຈົ້າຈະໃຫ້ສາມທາງເລືອກໃນການປະຕິບັດຂັ້ນຕອນເຫຼົ່ານີ້:
ທໍາອິດແມ່ນໂດຍການຕັ້ງຄ່າທໍ່ CI / CD ໂດຍໃຊ້ GitLab ເປັນຕົວຢ່າງ (ມີຄໍາອະທິບາຍກ່ຽວກັບຂະບວນການຍົກຕົວຢ່າງການທົດສອບ).
ອັນທີສອງແມ່ນການໃຊ້ Shell script.
ອັນທີສາມກ່ຽວຂ້ອງກັບການສ້າງຮູບພາບ Docker ເພື່ອສະແກນຮູບພາບ Docker.
ທ່ານສາມາດເລືອກທາງເລືອກທີ່ເຫມາະສົມກັບເຈົ້າທີ່ສຸດ, ໂອນມັນໄປສູ່ໂຄງສ້າງພື້ນຖານຂອງທ່ານແລະປັບມັນໃຫ້ເຫມາະສົມກັບຄວາມຕ້ອງການຂອງທ່ານ.

ໄຟລ໌ທີ່ຈໍາເປັນທັງໝົດ ແລະຄໍາແນະນໍາເພີ່ມເຕີມຍັງຢູ່ໃນບ່ອນເກັບມ້ຽນ: https://github.com/Swordfish-Security/docker_cicd

ການເຊື່ອມໂຍງເຂົ້າໃນ GitLab CI/CD

ໃນທາງເລືອກທໍາອິດ, ພວກເຮົາຈະເບິ່ງວິທີທີ່ທ່ານສາມາດປະຕິບັດການກວດສອບຄວາມປອດໄພໂດຍໃຊ້ລະບົບເກັບຮັກສາ GitLab ເປັນຕົວຢ່າງ. ທີ່ນີ້ພວກເຮົາຈະໄປໂດຍຜ່ານຂັ້ນຕອນແລະຄິດອອກວິທີການຕິດຕັ້ງສະພາບແວດລ້ອມການທົດສອບກັບ GitLab ຈາກ scratch, ສ້າງຂະບວນການສະແກນແລະເປີດຕົວ utilities ສໍາລັບການກວດສອບ Dockerfile ການທົດສອບແລະຮູບພາບສຸ່ມ - ຄໍາຮ້ອງສະຫມັກ JuiceShop .

ການຕິດຕັ້ງ GitLab
1. ຕິດຕັ້ງ Docker:

sudo apt-get update && sudo apt-get install docker.io

2. ເພີ່ມຜູ້ໃຊ້ປະຈຸບັນເຂົ້າໃນກຸ່ມ docker ເພື່ອໃຫ້ທ່ານສາມາດເຮັດວຽກກັບ docker ໂດຍບໍ່ຕ້ອງໃຊ້ sudo:

sudo addgroup <username> docker

3. ຊອກຫາ IP ຂອງທ່ານ:

ip addr

4. ຕິດຕັ້ງ ແລະເປີດ GitLab ໃນກ່ອງບັນຈຸ, ແທນທີ່ທີ່ຢູ່ IP ໃນຊື່ເຈົ້າພາບດ້ວຍຕົວເຈົ້າເອງ:

docker run --detach 
--hostname 192.168.1.112 
--publish 443:443 --publish 80:80 
--name gitlab 
--restart always 
--volume /srv/gitlab/config:/etc/gitlab 
--volume /srv/gitlab/logs:/var/log/gitlab 
--volume /srv/gitlab/data:/var/opt/gitlab 
gitlab/gitlab-ce:latest

ພວກເຮົາລໍຖ້າຈົນກ່ວາ GitLab ສໍາເລັດຂັ້ນຕອນການຕິດຕັ້ງທີ່ຈໍາເປັນທັງຫມົດ (ທ່ານສາມາດຕິດຕາມຂະບວນການໂດຍຜ່ານການອອກໄຟລ໌ບັນທຶກ: docker logs -f gitlab).

5. ເປີດ IP ທ້ອງຖິ່ນຂອງທ່ານໃນຕົວທ່ອງເວັບແລະເບິ່ງຫນ້າທີ່ຮ້ອງຂໍໃຫ້ທ່ານປ່ຽນລະຫັດຜ່ານສໍາລັບຜູ້ໃຊ້ຮາກ:

ຕັ້ງລະຫັດຜ່ານໃໝ່ ແລະໄປທີ່ GitLab.

6. ສ້າງໂຄງການໃຫມ່, ຕົວຢ່າງ cicd-test ແລະເລີ່ມຕົ້ນມັນດ້ວຍໄຟລ໌ເລີ່ມຕົ້ນ README.md:

7. ໃນປັດຈຸບັນພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ຕິດຕັ້ງ GitLab Runner: ຕົວແທນທີ່ຈະດໍາເນີນການທັງຫມົດທີ່ຈໍາເປັນຕາມຄໍາຮ້ອງຂໍ.
ດາວໂຫລດເວີຊັນຫຼ້າສຸດ (ໃນກໍລະນີນີ້, ສໍາລັບ Linux 64-bit):

sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd64

8. ເຮັດໃຫ້ມັນສາມາດປະຕິບັດໄດ້:

sudo chmod +x /usr/local/bin/gitlab-runner

9. ເພີ່ມຜູ້ໃຊ້ OS ສໍາລັບ Runner ແລະເລີ່ມການບໍລິການ:

sudo useradd --comment 'GitLab Runner' --create-home gitlab-runner --shell /bin/bash
sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
sudo gitlab-runner start

ມັນຄວນຈະມີລັກສະນະນີ້:

local@osboxes:~$ sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
Runtime platform arch=amd64 os=linux pid=8438 revision=0e5417a3 version=12.0.1
local@osboxes:~$ sudo gitlab-runner start
Runtime platform arch=amd64 os=linux pid=8518 revision=0e5417a3 version=12.0.1

10. ໃນປັດຈຸບັນພວກເຮົາລົງທະບຽນ Runner ເພື່ອໃຫ້ມັນສາມາດພົວພັນກັບຕົວຢ່າງ GitLab ຂອງພວກເຮົາ.
ເພື່ອເຮັດສິ່ງນີ້, ເປີດຫນ້າ Settings-CI/CD (http://OUR_IP_ADDRESS/root/cicd-test/-/settings/ci_cd) ແລະໃນແຖບ Runners ຊອກຫາ URL ແລະ token ການລົງທະບຽນ:

11. ລົງທະບຽນ Runner ໂດຍການປ່ຽນແທນ URL ແລະ Registration token:

sudo gitlab-runner register 
--non-interactive 
--url "http://<URL>/" 
--registration-token "<Registration Token>" 
--executor "docker" 
--docker-privileged 
--docker-image alpine:latest 
--description "docker-runner" 
--tag-list "docker,privileged" 
--run-untagged="true" 
--locked="false" 
--access-level="not_protected"

ດັ່ງນັ້ນ, ພວກເຮົາໄດ້ຮັບ GitLab ທີ່ກຽມພ້ອມທີ່ເຮັດວຽກ, ເຊິ່ງພວກເຮົາຈໍາເປັນຕ້ອງເພີ່ມຄໍາແນະນໍາເພື່ອເລີ່ມຕົ້ນການນໍາໃຊ້ປະໂຫຍດຂອງພວກເຮົາ. ໃນຕົວຢ່າງນີ້ພວກເຮົາບໍ່ມີຂັ້ນຕອນໃນການສ້າງແອັບພລິເຄຊັນແລະບັນຈຸມັນ, ແຕ່ໃນສະພາບແວດລ້ອມທີ່ແທ້ຈິງສິ່ງເຫຼົ່ານີ້ຈະນໍາຫນ້າຂັ້ນຕອນການສະແກນແລະສ້າງຮູບພາບແລະ Dockerfile ສໍາລັບການວິເຄາະ.

ການຕັ້ງຄ່າທໍ່

1. ເພີ່ມໄຟລ໌ໃສ່ບ່ອນເກັບມ້ຽນ mydockerfile.df (ນີ້ແມ່ນ Dockerfile ທົດສອບທີ່ພວກເຮົາຈະກວດສອບ) ແລະໄຟລ໌ການຕັ້ງຄ່າຂະບວນການ GitLab CI/CD .gitlab-cicd.yml, ເຊິ່ງລາຍຊື່ຄໍາແນະນໍາສໍາລັບເຄື່ອງສະແກນ (ຫມາຍເຫດຈຸດໃນຊື່ໄຟລ໌).

ໄຟລ໌ການຕັ້ງຄ່າ YAML ມີຄໍາແນະນໍາເພື່ອດໍາເນີນການສາມອັນ (Hadolint, Dockle, ແລະ Trivy) ທີ່ຈະວິເຄາະ Dockerfile ທີ່ເລືອກແລະຮູບພາບທີ່ລະບຸໄວ້ໃນຕົວແປ DOCKERFILE. ໄຟລ໌ທີ່ຈໍາເປັນທັງຫມົດສາມາດເອົາມາຈາກ repository: https://github.com/Swordfish-Security/docker_cicd/

ຫຍໍ້ມາຈາກ mydockerfile.df (ນີ້ແມ່ນໄຟລ໌ບໍ່ມີຕົວຕົນທີ່ມີຊຸດຂອງຄໍາແນະນໍາທີ່ຕົນເອງພຽງແຕ່ເພື່ອສະແດງໃຫ້ເຫັນການດໍາເນີນງານຂອງຜົນປະໂຫຍດ). ການເຊື່ອມຕໍ່ໂດຍກົງກັບໄຟລ໌: mydockerfile.df

ເນື້ອໃນຂອງ mydockerfile.df

FROM amd64/node:10.16.0-alpine@sha256:f59303fb3248e5d992586c76cc83e1d3700f641cbcd7c0067bc7ad5bb2e5b489 AS tsbuild
COPY package.json .
COPY yarn.lock .
RUN yarn install
COPY lib lib
COPY tsconfig.json tsconfig.json
COPY tsconfig.app.json tsconfig.app.json
RUN yarn build
FROM amd64/ubuntu:18.04@sha256:eb70667a801686f914408558660da753cde27192cd036148e58258819b927395
LABEL maintainer="Rhys Arkins <[email protected]>"
LABEL name="renovate"
...
COPY php.ini /usr/local/etc/php/php.ini
RUN cp -a /tmp/piik/* /var/www/html/
RUN rm -rf /tmp/piwik
RUN chown -R www-data /var/www/html
ADD piwik-cli-setup /piwik-cli-setup
ADD reset.php /var/www/html/
## ENTRYPOINT ##
ADD entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
USER root

ການຕັ້ງຄ່າ YAML ເບິ່ງຄືວ່ານີ້ (ໄຟລ໌ຕົວມັນເອງສາມາດພົບໄດ້ໂດຍຜ່ານການເຊື່ອມຕໍ່ໂດຍກົງທີ່ນີ້: .gitlab-ci.yml):

ເນື້ອໃນຂອງ .gitlab-ci.yml

variables:
    DOCKER_HOST: "tcp://docker:2375/"
    DOCKERFILE: "mydockerfile.df" # name of the Dockerfile to analyse   
    DOCKERIMAGE: "bkimminich/juice-shop" # name of the Docker image to analyse
    # DOCKERIMAGE: "knqyf263/cve-2018-11235" # test Docker image with several CRITICAL CVE
    SHOWSTOPPER_PRIORITY: "CRITICAL" # what level of criticality will fail Trivy job
    TRIVYCACHE: "$CI_PROJECT_DIR/.cache" # where to cache Trivy database of vulnerabilities for faster reuse
    ARTIFACT_FOLDER: "$CI_PROJECT_DIR"
 
services:
    - docker:dind # to be able to build docker images inside the Runner
 
stages:
    - scan
    - report
    - publish
 
HadoLint:
    # Basic lint analysis of Dockerfile instructions
    stage: scan
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/hadolint_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/hadolint/hadolint/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/hadolint/hadolint/releases/download/v${VERSION}/hadolint-Linux-x86_64 && chmod +x hadolint-Linux-x86_64
     
    # NB: hadolint will always exit with 0 exit code
    - ./hadolint-Linux-x86_64 -f json $DOCKERFILE > $ARTIFACT_FOLDER/hadolint_results.json || exit 0
 
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/hadolint_results.json
 
Dockle:
    # Analysing best practices about docker image (users permissions, instructions followed when image was built, etc.)
    stage: scan   
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/dockle_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/goodwithtech/dockle/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.tar.gz && tar zxf dockle_${VERSION}_Linux-64bit.tar.gz
    - ./dockle --exit-code 1 -f json --output $ARTIFACT_FOLDER/dockle_results.json $DOCKERIMAGE   
     
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/dockle_results.json
 
Trivy:
    # Analysing docker image and package dependencies against several CVE bases
    stage: scan   
    image: docker:git
 
    script:
    # getting the latest Trivy
    - apk add rpm
    - export VERSION=$(wget -q -O - https://api.github.com/repos/knqyf263/trivy/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/knqyf263/trivy/releases/download/v${VERSION}/trivy_${VERSION}_Linux-64bit.tar.gz && tar zxf trivy_${VERSION}_Linux-64bit.tar.gz
     
    # displaying all vulnerabilities w/o failing the build
    - ./trivy -d --cache-dir $TRIVYCACHE -f json -o $ARTIFACT_FOLDER/trivy_results.json --exit-code 0 $DOCKERIMAGE    
    
    # write vulnerabilities info to stdout in human readable format (reading pure json is not fun, eh?). You can remove this if you don't need this.
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 0 $DOCKERIMAGE    
 
    # failing the build if the SHOWSTOPPER priority is found
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 1 --severity $SHOWSTOPPER_PRIORITY --quiet $DOCKERIMAGE
         
    artifacts:
        when: always # return artifacts even after job failure
        paths:
        - $ARTIFACT_FOLDER/trivy_results.json
 
    cache:
        paths:
        - .cache
 
Report:
    # combining tools outputs into one HTML
    stage: report
    when: always
    image: python:3.5
     
    script:
    - mkdir json
    - cp $ARTIFACT_FOLDER/*.json ./json/
    - pip install json2html
    - wget https://raw.githubusercontent.com/shad0wrunner/docker_cicd/master/convert_json_results.py
    - python ./convert_json_results.py
     
    artifacts:
        paths:
        - results.html

ຖ້າຈໍາເປັນ, ທ່ານຍັງສາມາດສະແກນຮູບພາບທີ່ບັນທຶກໄວ້ໃນຮູບແບບຂອງ .tar archive (ຢ່າງໃດກໍ່ຕາມ, ທ່ານຈະຕ້ອງປ່ຽນຕົວກໍານົດການປ້ອນຂໍ້ມູນສໍາລັບຜົນປະໂຫຍດໃນໄຟລ໌ YAML).

NB: Trivy ຮຽກຮ້ອງໃຫ້ມີການຕິດຕັ້ງ rpm и ໄປ. ຖ້າບໍ່ດັ່ງນັ້ນ, ມັນຈະສ້າງຂໍ້ຜິດພາດໃນເວລາທີ່ສະແກນຮູບພາບທີ່ອີງໃສ່ RedHat ແລະໄດ້ຮັບການປັບປຸງຖານຂໍ້ມູນທີ່ມີຄວາມສ່ຽງ.

2. ຫຼັງຈາກເພີ່ມໄຟລ໌ໃສ່ repository, ອີງຕາມຄໍາແນະນໍາໃນໄຟລ໌ການຕັ້ງຄ່າຂອງພວກເຮົາ, GitLab ຈະເລີ່ມຕົ້ນຂະບວນການສ້າງແລະສະແກນອັດຕະໂນມັດ. ໃນແຖບ CI/CD → Pipelines ທ່ານສາມາດເບິ່ງຄວາມຄືບຫນ້າຂອງຄໍາແນະນໍາ.

ດັ່ງນັ້ນ, ພວກເຮົາມີ 4 ວຽກງານ. ສາມຂອງພວກເຂົາຈັດການກັບການສະແກນໂດຍກົງ, ແລະສຸດທ້າຍ (ບົດລາຍງານ) ລວບລວມບົດລາຍງານງ່າຍໆຈາກໄຟລ໌ທີ່ກະແຈກກະຈາຍດ້ວຍຜົນໄດ້ຮັບການສະແກນ.

ໂດຍຄ່າເລີ່ມຕົ້ນ, Trivy ຢຸດເຮັດວຽກຖ້າມີຈຸດອ່ອນທີ່ເປັນອັນຕະລາຍຖືກກວດພົບໃນຮູບພາບ ຫຼືການຂຶ້ນກັບ. ໃນເວລາດຽວກັນ, Hadolint ສະເຫມີສົ່ງຄືນລະຫັດສົບຜົນສໍາເລັດເນື່ອງຈາກວ່າມັນສະເຫມີຜົນໄດ້ຮັບໃນຄໍາເຫັນ, ເຊິ່ງເຮັດໃຫ້ການກໍ່ສ້າງຢຸດເຊົາ.

ອີງຕາມຄວາມຕ້ອງການສະເພາະຂອງທ່ານ, ທ່ານສາມາດປັບຄ່າລະຫັດອອກເພື່ອວ່າເມື່ອສິ່ງອໍານວຍຄວາມສະດວກເຫຼົ່ານີ້ກວດພົບບັນຫາຂອງຄວາມສໍາຄັນທີ່ແນ່ນອນ, ພວກເຂົາກໍ່ຢຸດຂະບວນການສ້າງ. ໃນກໍລະນີຂອງພວກເຮົາ, ການກໍ່ສ້າງຈະຢຸດເຊົາພຽງແຕ່ຖ້າ Trivy ກວດພົບຊ່ອງໂຫວ່ກັບຄວາມສໍາຄັນທີ່ພວກເຮົາໄດ້ລະບຸໄວ້ໃນຕົວແປ SHOWSTOPPER ໃນ .gitlab-ci.yml.

ຜົນໄດ້ຮັບຂອງແຕ່ລະຜົນປະໂຫຍດສາມາດເບິ່ງໄດ້ໃນບັນທຶກຂອງແຕ່ລະວຽກງານການສະແກນ, ໂດຍກົງໃນໄຟລ໌ json ໃນສ່ວນ artifacts, ຫຼືໃນບົດລາຍງານ HTML ແບບງ່າຍດາຍ (ເພີ່ມເຕີມກ່ຽວກັບວ່າຂ້າງລຸ່ມນີ້):

3. ເພື່ອນໍາສະເຫນີບົດລາຍງານຜົນປະໂຫຍດໃນຮູບແບບທີ່ມະນຸດສາມາດອ່ານໄດ້ເລັກນ້ອຍ, script Python ຂະຫນາດນ້ອຍຖືກນໍາໃຊ້ເພື່ອປ່ຽນສາມໄຟລ໌ JSON ເຂົ້າໄປໃນໄຟລ໌ HTML ທີ່ມີຕາຕະລາງຂໍ້ບົກພ່ອງ.
ສະຄຣິບນີ້ຖືກເປີດຕົວໂດຍວຽກງານລາຍງານແຍກຕ່າງຫາກ, ແລະສິ່ງປອມສຸດທ້າຍຂອງມັນແມ່ນໄຟລ໌ HTML ທີ່ມີບົດລາຍງານ. ແຫຼ່ງ script ຍັງຢູ່ໃນ repository ແລະສາມາດປັບຕົວໃຫ້ເຫມາະສົມກັບຄວາມຕ້ອງການ, ສີ, ແລະອື່ນໆ.

Shell script

ທາງເລືອກທີສອງແມ່ນເຫມາະສົມສໍາລັບກໍລະນີທີ່ທ່ານຈໍາເປັນຕ້ອງກວດເບິ່ງຮູບພາບ Docker ຢູ່ນອກລະບົບ CI / CD ຫຼືທ່ານຈໍາເປັນຕ້ອງມີຄໍາແນະນໍາທັງຫມົດໃນຮູບແບບທີ່ສາມາດປະຕິບັດໄດ້ໂດຍກົງໃນເຈົ້າພາບ. ຕົວເລືອກນີ້ຖືກປົກຄຸມດ້ວຍສະຄິບແກະທີ່ກຽມພ້ອມທີ່ສາມາດດໍາເນີນການໄດ້ໃນເຄື່ອງ virtual (ຫຼືແມ້ກະທັ້ງຈິງ) ທີ່ສະອາດ. script ປະຕິບັດຄໍາແນະນໍາດຽວກັນກັບ gitlab-runner ທີ່ອະທິບາຍຂ້າງເທິງ.

ເພື່ອໃຫ້ສະຄຣິບເຮັດວຽກໄດ້ສຳເລັດ, Docker ຕ້ອງຖືກຕິດຕັ້ງຢູ່ໃນລະບົບ ແລະຜູ້ໃຊ້ປັດຈຸບັນຕ້ອງຢູ່ໃນກຸ່ມ docker.

script ຕົວຂອງມັນເອງສາມາດພົບໄດ້ທີ່ນີ້: docker_sec_check.sh

ໃນຕອນຕົ້ນຂອງໄຟລ໌, ຕົວແປລະບຸວ່າຮູບພາບໃດຕ້ອງການສະແກນ ແລະຂໍ້ບົກພ່ອງດ້ານວິຈານອັນໃດຈະເຮັດໃຫ້ Trivy utility ອອກດ້ວຍລະຫັດຂໍ້ຜິດພາດທີ່ລະບຸໄວ້.

ໃນລະຫວ່າງການປະຕິບັດ script, ອຸປະກອນປະໂຫຍດທັງຫມົດຈະໄດ້ຮັບການດາວໂຫຼດໃນລະບົບ docker_tools, ຜົນໄດ້ຮັບຂອງການເຮັດວຽກຂອງພວກເຂົາແມ່ນຢູ່ໃນໄດເລກະທໍລີ docker_tools/json, ແລະ HTML ທີ່ມີບົດລາຍງານຈະຢູ່ໃນໄຟລ໌ results.html.

ຕົວຢ່າງຜົນອອກຂອງສະຄຣິບ

~/docker_cicd$ ./docker_sec_check.sh

[+] Setting environment variables
[+] Installing required packages
[+] Preparing necessary directories
[+] Fetching sample Dockerfile
2020-10-20 10:40:00 (45.3 MB/s) - ‘Dockerfile’ saved [8071/8071]
[+] Pulling image to scan
latest: Pulling from bkimminich/juice-shop
[+] Running Hadolint
...
Dockerfile:205 DL3015 Avoid additional packages by specifying `--no-install-recommends`
Dockerfile:248 DL3002 Last USER should not be root
...
[+] Running Dockle
...
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
...
[+] Running Trivy
juice-shop/frontend/package-lock.json
=====================================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 2, CRITICAL: 0)

+---------------------+------------------+----------+---------+-------------------------+
|       LIBRARY       | VULNERABILITY ID | SEVERITY | VERSION |             TITLE       |
+---------------------+------------------+----------+---------+-------------------------+
| object-path         | CVE-2020-15256   | HIGH     | 0.11.4  | Prototype pollution in  |
|                     |                  |          |         | object-path             |
+---------------------+------------------+          +---------+-------------------------+
| tree-kill           | CVE-2019-15599   |          | 1.2.2   | Code Injection          |
+---------------------+------------------+----------+---------+-------------------------+
| webpack-subresource | CVE-2020-15262   | LOW      | 1.4.1   | Unprotected dynamically |
|                     |                  |          |         | loaded chunks           |
+---------------------+------------------+----------+---------+-------------------------+

juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)

...

juice-shop/package-lock.json
============================
Total: 5 (CRITICAL: 5)

...
[+] Removing left-overs
[+] Making the output look pretty
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

ຮູບພາບ Docker ທີ່ມີຜົນປະໂຫຍດທັງຫມົດ

ເປັນທາງເລືອກທີສາມ, ຂ້າພະເຈົ້າໄດ້ລວບລວມສອງ Dockerfiles ງ່າຍໆເພື່ອສ້າງຮູບພາບທີ່ມີຜົນປະໂຫຍດດ້ານຄວາມປອດໄພ. ຫນຶ່ງ Dockerfile ຈະຊ່ວຍສ້າງຊຸດສໍາລັບການສະແກນຮູບພາບຈາກ repository, ທີສອງ (Dockerfile_tar) ຈະຊ່ວຍສ້າງຊຸດສໍາລັບການສະແກນໄຟລ໌ tar ກັບຮູບພາບ.

1. ເອົາໄຟລ໌ Docker ທີ່ສອດຄ້ອງກັນແລະ scripts ຈາກ repository https://github.com/Swordfish-Security/docker_cicd/tree/master/Dockerfile.
2. ພວກເຮົາເປີດຕົວມັນສໍາລັບການປະກອບ:

docker build -t dscan:image -f docker_security.df .

3. ຫຼັງຈາກປະກອບສໍາເລັດແລ້ວ, ພວກເຮົາສ້າງຕູ້ຄອນເທນເນີຈາກຮູບ. ໃນເວລາດຽວກັນ, ພວກເຮົາຜ່ານຕົວແປສະພາບແວດລ້ອມ DOCKERIMAGE ດ້ວຍຊື່ຂອງຮູບພາບທີ່ພວກເຮົາສົນໃຈແລະຕິດຕັ້ງ Dockerfile ທີ່ພວກເຮົາຕ້ອງການວິເຄາະຈາກເຄື່ອງຂອງພວກເຮົາໄປຫາໄຟລ໌. /Dockerfile (ສັງເກດວ່າຕ້ອງການເສັ້ນທາງຢ່າງແທ້ຈິງໄປຫາໄຟລ໌ນີ້):

docker run --rm -v $(pwd)/results:/results -v $(pwd)/docker_security.df:/Dockerfile -e DOCKERIMAGE="bkimminich/juice-shop" dscan:image


[+] Setting environment variables
[+] Running Hadolint
/Dockerfile:3 DL3006 Always tag the version of an image explicitly
[+] Running Dockle
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO    - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
        * not found HEALTHCHECK statement
INFO    - DKL-LI-0003: Only put necessary files
        * unnecessary file : juice-shop/node_modules/sqlite3/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm64/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm/Dockerfile
[+] Running Trivy
...
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
[+] Making the output look pretty
[+] Starting the main module ============================================================
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

Результаты

ພວກເຮົາໄດ້ເບິ່ງພຽງແຕ່ຫນຶ່ງຊຸດພື້ນຖານຂອງອຸປະກອນສໍາລັບການສະແກນ Docker artifacts, ເຊິ່ງ, ໃນຄວາມຄິດເຫັນຂອງຂ້າພະເຈົ້າ, ປະສິດທິພາບຫຼາຍກວມເອົາສ່ວນທີ່ເຫມາະສົມຂອງຄວາມຕ້ອງການຄວາມປອດໄພຮູບພາບ. ຍັງມີຈໍານວນຂະຫນາດໃຫຍ່ຂອງເຄື່ອງມືທີ່ຈ່າຍແລະບໍ່ເສຍຄ່າທີ່ສາມາດປະຕິບັດການກວດສອບດຽວກັນ, ແຕ້ມບົດລາຍງານທີ່ສວຍງາມຫຼືເຮັດວຽກຢ່າງດຽວໃນໂຫມດ console, ການປົກຫຸ້ມຂອງລະບົບການຈັດການຕູ້ຄອນເທນເນີ, ແລະອື່ນໆ. ສະພາບລວມຂອງເຄື່ອງມືເຫຼົ່ານີ້ແລະວິທີການປະສົມປະສານອາດຈະປາກົດຂຶ້ນເລັກນ້ອຍຕໍ່ມາ. .

ສິ່ງທີ່ດີກ່ຽວກັບຊຸດເຄື່ອງມືທີ່ອະທິບາຍໄວ້ໃນບົດຄວາມນີ້ແມ່ນວ່າພວກມັນທັງຫມົດແມ່ນແຫຼ່ງເປີດແລະທ່ານສາມາດທົດລອງກັບພວກມັນແລະເຄື່ອງມືທີ່ຄ້າຍຄືກັນອື່ນໆເພື່ອຊອກຫາສິ່ງທີ່ເຫມາະສົມກັບຄວາມຕ້ອງການແລະໂຄງສ້າງພື້ນຖານຂອງທ່ານ. ແນ່ນອນ, ຊ່ອງໂຫວ່ທັງຫມົດທີ່ພົບເຫັນຄວນໄດ້ຮັບການສຶກສາສໍາລັບການນໍາໃຊ້ໃນເງື່ອນໄຂສະເພາະ, ແຕ່ນີ້ແມ່ນຫົວຂໍ້ສໍາລັບບົດຄວາມຂະຫນາດໃຫຍ່ໃນອະນາຄົດ.

ຂ້າພະເຈົ້າຫວັງວ່າຄູ່ມືນີ້, ສະຄິບແລະເຄື່ອງໃຊ້ຕ່າງໆຈະຊ່ວຍໃຫ້ທ່ານແລະກາຍເປັນຈຸດເລີ່ມຕົ້ນສໍາລັບການສ້າງໂຄງສ້າງພື້ນຖານທີ່ປອດໄພກວ່າໃນພື້ນທີ່ຂອງການບັນຈຸ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ວິທີການແລະຕົວຢ່າງຂອງການປະຕິບັດການກວດກາຄວາມປອດໄພ Docker

ກວດສອບຄວາມປອດໄພອຸປະກອນ

ທາງເລືອກໃນການປະຕິບັດອຸປະກອນ

ການເຊື່ອມໂຍງເຂົ້າໃນ GitLab CI/CD

Shell script

ຮູບພາບ Docker ທີ່ມີຜົນປະໂຫຍດທັງຫມົດ

Результаты

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ

ວິທີການແລະຕົວຢ່າງຂອງການປະຕິບັດການກວດກາຄວາມປອດໄພ Docker

ກວດ​ສອບ​ຄວາມ​ປອດ​ໄພ​ອຸ​ປະ​ກອນ​

ທາງ​ເລືອກ​ໃນ​ການ​ປະ​ຕິ​ບັດ​ອຸ​ປະ​ກອນ​

ການເຊື່ອມໂຍງເຂົ້າໃນ GitLab CI/CD

Shell script

ຮູບພາບ Docker ທີ່ມີຜົນປະໂຫຍດທັງຫມົດ

Результаты

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ

ກວດສອບຄວາມປອດໄພອຸປະກອນ

ທາງເລືອກໃນການປະຕິບັດອຸປະກອນ