היי האבר!

אין מאָדערן פאַקט, רעכט צו דער גראָוינג ראָלע פון ​​קאַנטיינעריזאַטיאָן אין אַנטוויקלונג פּראַסעסאַז, די אַרויסגעבן פון ינשורינג די זיכערהייט פון פאַרשידן סטאַגעס און ענטיטיז פֿאַרבונדן מיט קאַנטיינערז איז נישט דער קלענסטער וויכטיק אַרויסגעבן. מאַנואַל טשעקס איז צייט-קאַנסומינג, אַזוי עס וואָלט זיין אַ גוטע געדאַנק צו נעמען אין מינדסטער די ערשט סטעפּס צו אָטאַמייטינג דעם פּראָצעס.

אין דעם אַרטיקל, איך וועל טיילן פאַרטיק סקריפּס פֿאַר ימפּלאַמענינג עטלעכע דאָקקער זיכערהייט יוטילאַטיז און ינסטראַקשאַנז אויף ווי צו צעוויקלען אַ קליין דעמאָ שטיין צו פּרובירן דעם פּראָצעס. איר קענען נוצן די מאַטעריאַלס צו עקספּערימענט מיט ווי צו אָרגאַניזירן דעם פּראָצעס פון טעסטינג די זיכערהייט פון Dockerfile בילדער און ינסטראַקשאַנז. עס איז קלאָר אַז די ינפראַסטראַקטשער פון יעדער אַנטוויקלונג און ימפּלאַמענטיישאַן איז אַנדערש, אַזוי אונטן איך וועל צושטעלן עטלעכע מעגלעך אָפּציעס.

זיכערהייט טשעק יוטילאַטיז

עס זענען אַ גרויס נומער פון פאַרשידענע העלפּער אַפּלאַקיישאַנז און סקריפּס וואָס דורכפירן טשעקס אויף פאַרשידן אַספּעקץ פון די דאָקקער ינפראַסטראַקטשער. עטלעכע פון ​​זיי האָבן שוין דיסקרייבד אין דעם פריערדיקן אַרטיקל (https://habr.com/ru/company/swordfish_security/blog/518758/#docker-security), און אין דעם מאַטעריאַל איך וואָלט ווי צו פאָקוס אויף דריי פון זיי, וואָס דעקן די פאַרנעם פון די זיכערהייט רעקווירעמענץ פֿאַר דאָקקער בילדער געבויט בעשאַס די אַנטוויקלונג פּראָצעס. אין אַדישאַן, איך וועל אויך ווייַזן אַ ביישפּיל פון ווי די דריי יוטילאַטיז קענען זיין קאָננעקטעד אין איין רערנ - ליניע צו דורכפירן זיכערהייט טשעקס.

האדאלין
https://github.com/hadolint/hadolint

א פערלי פּשוט קאַנסאָול נוצן וואָס העלפּס, ווי אַ ערשטער אַפּראַקסאַמיישאַן, אָפּשאַצן די ריכטיק און זיכערקייט פון Dockerfile אינסטרוקציעס (למשל, ניצן בלויז אָטערייזד בילד רעגיסטריז אָדער ניצן סודאָ).

דאָקל
https://github.com/goodwithtech/dockle

א קאַנסאָול נוצן וואָס אַרבעט מיט אַ בילד (אָדער מיט אַ געראטעוועט טאַר אַרקייוו פון אַ בילד), וואָס קאָנטראָלירן די ריכטיק און זיכערהייט פון אַ באַזונדער בילד ווי אַזאַ, אַנאַלייזינג זייַן לייַערס און קאַנפיגיעריישאַן - וואָס יוזערז זענען באשאפן, וואָס ינסטראַקשאַנז זענען געניצט, וואָס וואַליומז זענען מאָונטעד, די בייַזייַן פון אַ ליידיק פּאַראָל, אאז"ו ו. ביז איצט די נומער פון טשעקס איז נישט זייער גרויס און איז באזירט אויף עטלעכע פון ​​אונדזער אייגענע טשעקס און רעקאַמאַנדיישאַנז סיס (צענטער פֿאַר אינטערנעט סעקוריטי) בענטשמאַרק פֿאַר דאָקער.


טריווי
https://github.com/aquasecurity/trivy

די נוצן איז אַימעד צו געפֿינען צוויי טייפּס פון וואַלנעראַביליטיז - פּראָבלעמס מיט אַס בויען (געשטיצט דורך אַלפּיין, רעדהאַט (EL), CentOS, Debian GNU, Ubuntu) און פּראָבלעמס מיט דיפּענדאַנסיז (Gemfile.lock, Pipfile.lock, composer.lock, פּעקל -lock.json, yarn.lock, cargo.lock). טריווי קענען יבערקוקן ביידע אַ בילד אין די ריפּאַזאַטאָרי און אַ היגע בילד, און קענען אויך יבערקוקן באזירט אויף די טראַנספערד .טאַר טעקע מיט די דאָקקער בילד.

אָפּציעס פֿאַר ימפּלאַמענינג יוטילאַטיז

אין סדר צו פּרובירן די דיסקרייבד אַפּלאַקיישאַנז אין אַן אפגעזונדערט סוויווע, איך וועל צושטעלן ינסטראַקשאַנז פֿאַר ינסטאָלינג אַלע די יוטילאַטיז אין אַ ביסל סימפּלאַפייד פּראָצעס.

דער הויפּט געדאַנק איז צו באַווייַזן ווי איר קענען ינסטרומענט אָטאַמאַטיק אינהאַלט וועראַפאַקיישאַן פון Dockerfiles און Docker בילדער וואָס זענען באשאפן בעשאַס אַנטוויקלונג.

דער טשעק זיך באשטייט פון די פאלגענדע סטעפּס:

1. קאָנטראָלירן די ריכטיק און זיכערקייט פון Dockerfile אינסטרוקציעס מיט אַ לינטער נוצן האדאלין
2. קאָנטראָלירונג די קערעקטנאַס און זיכערקייַט פון די לעצט און ינטערמידייט בילדער ניצן אַ נוצן דאָקל
3. טשעק פֿאַר די בייַזייַן פון עפנטלעך באַוווסט וואַלנעראַביליטיז (CVE) אין די באַזע בילד און אַ נומער פון דיפּענדאַנסיז - ניצן די נוצן טריווי

שפּעטער אין דעם אַרטיקל איך וועל געבן דריי אָפּציעס פֿאַר ימפּלאַמענינג די סטעפּס:
דער ערשטער איז דורך קאַנפיגיערינג די סי / סי רערנ - ליניע ניצן GitLab ווי אַ ביישפּיל (מיט אַ באַשרייַבונג פון דעם פּראָצעס פון רייזינג אַ פּראָבע בייַשפּיל).
די רגע איז ניצן אַ שאָל שריפט.
די דריט ינוואַלווז בויען אַ דאָקקער בילד צו יבערקוקן דאָקער בילדער.
איר קענען קלייַבן די אָפּציע וואָס סוץ איר בעסטער, אַריבערפירן עס צו דיין ינפראַסטראַקטשער און אַדאַפּט עס צו דיין באדערפענישן.

אַלע נייטיק טעקעס און נאָך ינסטראַקשאַנז זענען אויך ליגן אין די ריפּאַזאַטאָרי: https://github.com/Swordfish-Security/docker_cicd

ינאַגריישאַן אין GitLab CI / CD

אין דער ערשטער אָפּציע, מיר וועלן קוקן ווי איר קענען ינסטרומענט זיכערהייט טשעקס ניצן די GitLab ריפּאַזאַטאָרי סיסטעם ווי אַ ביישפּיל. דאָ מיר וועלן דורכגיין די סטעפּס און רעכענען אויס ווי צו ינסטאַלירן אַ פּראָבע סוויווע מיט GitLab פֿון קראַצן, שאַפֿן אַ סקאַנינג פּראָצעס און קאַטער יוטילאַטיז פֿאַר קאָנטראָלירונג די פּראָבע Dockerfile און אַ טראַפ בילד - די JuiceShop אַפּלאַקיישאַן.

ינסטאָלינג GitLab
1. ינסטאַלירן דאָקקער:

sudo apt-get update && sudo apt-get install docker.io

2. לייג דעם קראַנט באַניצער צו די דאָקקער גרופּע אַזוי אַז איר קענען אַרבעטן מיט דאָקער אָן ניצן סודאָ:

sudo addgroup <username> docker

3. געפֿינען דיין IP:

ip addr

4. ינסטאַלירן און קאַטער GitLab אין דעם קאַנטיינער, ריפּלייסינג די IP אַדרעס אין די האָסטנאַמע מיט דיין אייגענע:

docker run --detach 
--hostname 192.168.1.112 
--publish 443:443 --publish 80:80 
--name gitlab 
--restart always 
--volume /srv/gitlab/config:/etc/gitlab 
--volume /srv/gitlab/logs:/var/log/gitlab 
--volume /srv/gitlab/data:/var/opt/gitlab 
gitlab/gitlab-ce:latest

מיר וואַרטן ביז GitLab קאַמפּליץ אַלע די נייטיק ייַנמאָנטירונג פּראָוסידזשערז (איר קענען מאָניטאָר דעם פּראָצעס דורך די לאָג טעקע רעזולטאַט: docker logs -f gitlab).

5. עפֿענען דיין היגע IP אין דעם בלעטערער און זען אַ בלאַט וואָס איר בעטן צו טוישן די פּאַראָל פֿאַר די וואָרצל באַניצער:

שטעלן אַ נייַ פּאַראָל און גיין צו GitLab.

6. שאַפֿן אַ נייַע פּרויעקט, למשל cicd-test און ינישאַלייז עס מיט די אָנהייב טעקע README.md:

7. איצט מיר דאַרפֿן צו ינסטאַלירן GitLab Runner: אַן אַגענט וואָס וועט לויפן אַלע די נייטיק אַפּעריישאַנז אויף בעטן.
אראפקאפיע די לעצטע ווערסיע (אין דעם פאַל, פֿאַר לינוקס 64-ביסל):

sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd64

8. מאַכן עס עקסעקוטאַבלע:

sudo chmod +x /usr/local/bin/gitlab-runner

9. לייג אַן אַס באַניצער פֿאַר ראַנער און אָנהייב די דינסט:

sudo useradd --comment 'GitLab Runner' --create-home gitlab-runner --shell /bin/bash
sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
sudo gitlab-runner start

עס זאָל קוקן עפּעס ווי דאָס:

local@osboxes:~$ sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
Runtime platform arch=amd64 os=linux pid=8438 revision=0e5417a3 version=12.0.1
local@osboxes:~$ sudo gitlab-runner start
Runtime platform arch=amd64 os=linux pid=8518 revision=0e5417a3 version=12.0.1

10. איצט מיר רעגיסטרירן די ראַנער אַזוי אַז עס קענען ינטעראַקט מיט אונדזער GitLab בייַשפּיל.
צו טאָן דאָס, עפֿענען די סעטטינגס-סי / קאָמפּאַקטדיסק בלאַט (http://OUR_IP_ADDRESS/root/cicd-test/-/settings/ci_cd) און אויף די ראַנערז קוויטל געפֿינען די URL און רעגיסטראַציע סימען:

11. פאַרשרייַבן ראַנער דורך פאַרבייַטן די URL און פאַרשרייבונג סימען:

sudo gitlab-runner register 
--non-interactive 
--url "http://<URL>/" 
--registration-token "<Registration Token>" 
--executor "docker" 
--docker-privileged 
--docker-image alpine:latest 
--description "docker-runner" 
--tag-list "docker,privileged" 
--run-untagged="true" 
--locked="false" 
--access-level="not_protected"

ווי אַ רעזולטאַט, מיר באַקומען אַ גרייט-געמאכט ארבעטן גיטלאַב, אין וואָס מיר דאַרפֿן צו לייגן ינסטראַקשאַנז צו אָנהייבן אונדזער יוטילאַטיז. אין דעם דעמאָ, מיר טאָן ניט האָבן די סטעפּס צו בויען די אַפּלאַקיישאַן און קאַנטאַמאַנייז עס, אָבער אין אַ פאַקטיש סוויווע, דאָס וואָלט זיין פּריידיד די סקאַנינג סטעפּס און דזשענערייט בילדער און אַ Dockerfile פֿאַר אַנאַליסיס.

רערנ - ליניע קאַנפיגיעריישאַן

1. לייג טעקעס צו די ריפּאַזאַטאָרי mydockerple.df (דאָס איז אַ פּראָבע Dockerfile וואָס מיר וועלן קאָנטראָלירן) און די GitLab CI / CD פּראָצעס קאַנפיגיעריישאַן טעקע .gitlab-cicd.yml, וואָס רשימות ינסטראַקשאַנז פֿאַר סקאַנערז (טאָן די פּונקט אין די טעקע נאָמען).

די YAML קאַנפיגיעריישאַן טעקע כּולל אינסטרוקציעס צו לויפן דריי יוטילאַטיז (Hadolint, Dockle און Trivy) וואָס וועט אַנאַלייז די אויסגעקליבן Dockerfile און די בילד ספּעסיפיעד אין די DOCKERFILE בייַטעוודיק. כל נייטיק טעקעס קענען זיין גענומען פֿון די ריפּאַזאַטאָרי: https://github.com/Swordfish-Security/docker_cicd/

אויסצוג פון mydockerple.df (דאָס איז אַן אַבסטראַקט טעקע מיט אַ סכום פון אַרביטראַריש ינסטראַקשאַנז בלויז צו באַווייַזן די אָפּעראַציע פון ​​די נוצן). דירעקט לינק צו דער טעקע: mydockerple.df

אינהאַלט פון mydockerple.df

FROM amd64/node:10.16.0-alpine@sha256:f59303fb3248e5d992586c76cc83e1d3700f641cbcd7c0067bc7ad5bb2e5b489 AS tsbuild
COPY package.json .
COPY yarn.lock .
RUN yarn install
COPY lib lib
COPY tsconfig.json tsconfig.json
COPY tsconfig.app.json tsconfig.app.json
RUN yarn build
FROM amd64/ubuntu:18.04@sha256:eb70667a801686f914408558660da753cde27192cd036148e58258819b927395
LABEL maintainer="Rhys Arkins <[email protected]>"
LABEL name="renovate"
...
COPY php.ini /usr/local/etc/php/php.ini
RUN cp -a /tmp/piik/* /var/www/html/
RUN rm -rf /tmp/piwik
RUN chown -R www-data /var/www/html
ADD piwik-cli-setup /piwik-cli-setup
ADD reset.php /var/www/html/
## ENTRYPOINT ##
ADD entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
USER root

די קאַנפיגיעריישאַן YAML קוקט ווי דאָס (די טעקע זיך קענען זיין געפֿונען דורך די דירעקט לינק דאָ: .גיטלאב-סי.ימל):

אינהאַלט פון .gitlab-ci.yml

variables:
    DOCKER_HOST: "tcp://docker:2375/"
    DOCKERFILE: "mydockerfile.df" # name of the Dockerfile to analyse   
    DOCKERIMAGE: "bkimminich/juice-shop" # name of the Docker image to analyse
    # DOCKERIMAGE: "knqyf263/cve-2018-11235" # test Docker image with several CRITICAL CVE
    SHOWSTOPPER_PRIORITY: "CRITICAL" # what level of criticality will fail Trivy job
    TRIVYCACHE: "$CI_PROJECT_DIR/.cache" # where to cache Trivy database of vulnerabilities for faster reuse
    ARTIFACT_FOLDER: "$CI_PROJECT_DIR"
 
services:
    - docker:dind # to be able to build docker images inside the Runner
 
stages:
    - scan
    - report
    - publish
 
HadoLint:
    # Basic lint analysis of Dockerfile instructions
    stage: scan
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/hadolint_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/hadolint/hadolint/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/hadolint/hadolint/releases/download/v${VERSION}/hadolint-Linux-x86_64 && chmod +x hadolint-Linux-x86_64
     
    # NB: hadolint will always exit with 0 exit code
    - ./hadolint-Linux-x86_64 -f json $DOCKERFILE > $ARTIFACT_FOLDER/hadolint_results.json || exit 0
 
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/hadolint_results.json
 
Dockle:
    # Analysing best practices about docker image (users permissions, instructions followed when image was built, etc.)
    stage: scan   
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/dockle_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/goodwithtech/dockle/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.tar.gz && tar zxf dockle_${VERSION}_Linux-64bit.tar.gz
    - ./dockle --exit-code 1 -f json --output $ARTIFACT_FOLDER/dockle_results.json $DOCKERIMAGE   
     
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/dockle_results.json
 
Trivy:
    # Analysing docker image and package dependencies against several CVE bases
    stage: scan   
    image: docker:git
 
    script:
    # getting the latest Trivy
    - apk add rpm
    - export VERSION=$(wget -q -O - https://api.github.com/repos/knqyf263/trivy/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/knqyf263/trivy/releases/download/v${VERSION}/trivy_${VERSION}_Linux-64bit.tar.gz && tar zxf trivy_${VERSION}_Linux-64bit.tar.gz
     
    # displaying all vulnerabilities w/o failing the build
    - ./trivy -d --cache-dir $TRIVYCACHE -f json -o $ARTIFACT_FOLDER/trivy_results.json --exit-code 0 $DOCKERIMAGE    
    
    # write vulnerabilities info to stdout in human readable format (reading pure json is not fun, eh?). You can remove this if you don't need this.
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 0 $DOCKERIMAGE    
 
    # failing the build if the SHOWSTOPPER priority is found
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 1 --severity $SHOWSTOPPER_PRIORITY --quiet $DOCKERIMAGE
         
    artifacts:
        when: always # return artifacts even after job failure
        paths:
        - $ARTIFACT_FOLDER/trivy_results.json
 
    cache:
        paths:
        - .cache
 
Report:
    # combining tools outputs into one HTML
    stage: report
    when: always
    image: python:3.5
     
    script:
    - mkdir json
    - cp $ARTIFACT_FOLDER/*.json ./json/
    - pip install json2html
    - wget https://raw.githubusercontent.com/shad0wrunner/docker_cicd/master/convert_json_results.py
    - python ./convert_json_results.py
     
    artifacts:
        paths:
        - results.html

אויב נייטיק, איר קענען אויך יבערקוקן געראטעוועט בילדער אין די פאָרעם פון אַ .טאַר אַרקייוו (אָבער, איר דאַרפֿן צו טוישן די אַרייַנשרייַב פּאַראַמעטערס פֿאַר די יוטילאַטיז אין די YAML טעקע)

NB: טריווי ריקווייערז אינסטאַלירן רפּם и גיין. אַנדערש, עס וועט דזשענערייט ערראָרס ווען סקאַנינג RedHat-באזירט בילדער און ריסיווינג דערהייַנטיקונגען צו די וואַלנעראַביליטי דאַטאַבייס.

2. נאָך אַדינג טעקעס צו די ריפּאַזאַטאָרי, לויט די ינסטראַקשאַנז אין אונדזער קאַנפיגיעריישאַן טעקע, GitLab וועט אויטאָמאַטיש אָנהייבן דעם בויען און יבערקוקן פּראָצעס. אויף די סי / סי → פּייפּליינז קוויטל איר קענען זען די פּראָגרעס פון ינסטראַקשאַנז.

ווי אַ רעזולטאַט, מיר האָבן פיר טאַסקס. דריי פון זיי האַנדלען גלייַך מיט סקאַנינג, און די לעצטע (רעפּאָרט) קאַלעקץ אַ פּשוט באַריכט פון צעוואָרפן טעקעס מיט סקאַנינג רעזולטאַטן.

דורך פעליקייַט, טריווי סטאַפּס פליסנדיק אויב קריטיש וואַלנעראַביליטיז זענען דיטעקטאַד אין די בילד אָדער דיפּענדאַנסיז. אין דער זעלביקער צייט, Hadolint שטענדיק קערט אַ הצלחה קאָד ווייַל עס שטענדיק רעזולטאַטן אין באַמערקונגען, וואָס ז די בויען צו האַלטן.

דעפּענדינג אויף דיין ספּעציפיש רעקווירעמענץ, איר קענען קאַנפיגיער אַ אַרויסגאַנג קאָד אַזוי אַז ווען די יוטילאַטיז דעטעקט פּראָבלעמס פון אַ זיכער קריטיקאַטי, זיי אויך האַלטן די בויען פּראָצעס. אין אונדזער פאַל, די בויען וועט האַלטן בלויז אויב טריווי דיטעקץ אַ וואַלנעראַביליטי מיט די קריטיקייט אַז מיר ספּעסיפיעד אין די SHOWSTOPPER בייַטעוודיק אין .גיטלאב-סי.ימל.


דער רעזולטאַט פון יעדער נוצן קענען זיין געוויזן אין די קלאָץ פון יעדער סקאַנינג אַרבעט, גלייך אין די json טעקעס אין די אַרטאַפאַקץ אָפּטיילונג, אָדער אין אַ פּשוט HTML באַריכט (מער אויף דעם אונטן):


3. צו פאָרשטעלן יוטילאַטי ריפּאָרץ אין אַ ביסל מער מענטש-ליינעוודיק פאָרעם, אַ קליין פּיטהאָן שריפט איז געניצט צו קאָנווערט דריי JSON טעקעס אין איין HTML טעקע מיט אַ טיש פון חסרונות.
דער שריפט איז לאָנטשט דורך אַ באַזונדער באריכט אַרבעט, און זיין לעצט אַרטאַפאַקט איז אַ HTML טעקע מיט אַ באַריכט. דער שריפט מקור איז אויך אין די ריפּאַזאַטאָרי און קענען זיין צוגעפאסט צו דיין באדערפענישן, פארבן, עטק.

שאָל שריפט

די רגע אָפּציע איז פּאַסיק פֿאַר קאַסעס ווען איר דאַרפֿן צו קאָנטראָלירן דאָקקער בילדער אַרויס פון די סי / סי סיסטעם אָדער איר דאַרפֿן צו האָבן אַלע די ינסטראַקשאַנז אין אַ פאָרעם וואָס קענען זיין עקסאַקיוטאַד גלייַך אויף דער באַלעבאָס. דער אָפּציע איז באדעקט דורך אַ פאַרטיק שאָל שריפט וואָס קענען זיין לויפן אויף אַ ריין ווירטואַל (אָדער אפילו פאַקטיש) מאַשין. דער שריפט עקסאַקיוץ די זעלבע ינסטראַקשאַנז ווי די גיטלאַב-ראַנער דיסקרייבד אויבן.

פֿאַר די שריפט צו לויפן הצלחה, Docker מוזן זיין אינסטאַלירן אויף די סיסטעם און דער קראַנט באַניצער מוזן זיין אין די דאָקקער גרופּע.

די שריפט זיך קענען זיין געפֿונען דאָ: docker_sec_check.sh

אין די אָנהייב פון דער טעקע, וועריאַבאַלז ספּעציפיצירן וואָס בילד דאַרף זיין סקאַנד און וואָס קריטיקייט חסרונות וועט פאַרשאַפן די טריווי נוצן צו אַרויסגאַנג מיט די ספּעסיפיעד טעות קאָד.

בעשאַס שריפט דורכפירונג, אַלע יוטילאַטיז וועט זיין דאַונלאָודיד צו דער וועגווייַזער docker_tools, די רעזולטאַטן פון זייער אַרבעט זענען אין די וועגווייַזער docker_tools/json, און די HTML מיט דעם באַריכט וועט זיין אין דער טעקע רעזולטאַטן.html.

בייַשפּיל שריפט רעזולטאַט

~/docker_cicd$ ./docker_sec_check.sh

[+] Setting environment variables
[+] Installing required packages
[+] Preparing necessary directories
[+] Fetching sample Dockerfile
2020-10-20 10:40:00 (45.3 MB/s) - ‘Dockerfile’ saved [8071/8071]
[+] Pulling image to scan
latest: Pulling from bkimminich/juice-shop
[+] Running Hadolint
...
Dockerfile:205 DL3015 Avoid additional packages by specifying `--no-install-recommends`
Dockerfile:248 DL3002 Last USER should not be root
...
[+] Running Dockle
...
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
...
[+] Running Trivy
juice-shop/frontend/package-lock.json
=====================================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 2, CRITICAL: 0)

+---------------------+------------------+----------+---------+-------------------------+
|       LIBRARY       | VULNERABILITY ID | SEVERITY | VERSION |             TITLE       |
+---------------------+------------------+----------+---------+-------------------------+
| object-path         | CVE-2020-15256   | HIGH     | 0.11.4  | Prototype pollution in  |
|                     |                  |          |         | object-path             |
+---------------------+------------------+          +---------+-------------------------+
| tree-kill           | CVE-2019-15599   |          | 1.2.2   | Code Injection          |
+---------------------+------------------+----------+---------+-------------------------+
| webpack-subresource | CVE-2020-15262   | LOW      | 1.4.1   | Unprotected dynamically |
|                     |                  |          |         | loaded chunks           |
+---------------------+------------------+----------+---------+-------------------------+

juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)

...

juice-shop/package-lock.json
============================
Total: 5 (CRITICAL: 5)

...
[+] Removing left-overs
[+] Making the output look pretty
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

דאָקקער בילד מיט אַלע יוטילאַטיז

ווי אַ דריט אָלטערנאַטיוו, איך צונויפגעשטעלט צוויי פּשוט דאָקערפילעס צו שאַפֿן אַ בילד מיט זיכערהייט יוטילאַטיז. איין Dockerfile וועט העלפֿן בויען אַ סכום פֿאַר סקאַנינג אַ בילד פֿון אַ ריפּאַזאַטאָרי, די רגע (Dockerfile_tar) וועט העלפֿן בויען אַ גאַנג פֿאַר סקאַנינג אַ טאַר טעקע מיט אַ בילד.

1. נעמען די קאָראַספּאַנדינג דאָקקער טעקע און סקריפּס פון די ריפּאַזאַטאָרי https://github.com/Swordfish-Security/docker_cicd/tree/master/Dockerfile.
2. מיר קאַטער עס פֿאַר פֿאַרזאַמלונג:

docker build -t dscan:image -f docker_security.df .

3. נאָך די פֿאַרזאַמלונג איז געענדיקט, מיר מאַכן אַ קאַנטיינער פון די בילד. אין דער זעלביקער צייט, מיר פאָרן די DOCKERIMAGE סוויווע בייַטעוודיק מיט די נאָמען פון די בילד וואָס מיר זענען אינטערעסירט אין און אָנקלאַפּן די Dockerfile וואָס מיר ווילן צו אַנאַלייז פֿון אונדזער מאַשין צו דער טעקע. /דאָקקערפילע (באַמערקונג אַז דער אַבסאָלוט דרך צו דעם טעקע איז פארלאנגט):

docker run --rm -v $(pwd)/results:/results -v $(pwd)/docker_security.df:/Dockerfile -e DOCKERIMAGE="bkimminich/juice-shop" dscan:image

[+] Setting environment variables
[+] Running Hadolint
/Dockerfile:3 DL3006 Always tag the version of an image explicitly
[+] Running Dockle
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO    - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
        * not found HEALTHCHECK statement
INFO    - DKL-LI-0003: Only put necessary files
        * unnecessary file : juice-shop/node_modules/sqlite3/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm64/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm/Dockerfile
[+] Running Trivy
...
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
[+] Making the output look pretty
[+] Starting the main module ============================================================
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

רעזולטאַטן

מיר געקוקט אויף בלויז איין יקערדיק גאַנג פון יוטילאַטיז פֿאַר סקאַנינג דאָקקער אַרטאַפאַקץ, וואָס, אין מיין מיינונג, קאָווערס זייער יפעקטיוולי אַ לייַטיש טייל פון די בילד זיכערהייט רעקווירעמענץ. עס זענען אויך אַ גרויס נומער פון באַצאָלט און פריי מכשירים וואָס קענען דורכפירן די זעלבע טשעקס, ציען שיין ריפּאָרץ אָדער אַרבעט ריין אין קאַנסאָול מאָדע, דעקן קאַנטיינער פאַרוואַלטונג סיסטעמען, אאז"ו ו. אַן איבערבליק פון די מכשירים און ווי צו ויסשטימען זיי קען דערשייַנען אַ ביסל שפּעטער .

די גוטע זאַך וועגן דעם גאַנג פון מכשירים דיסקרייבד אין דעם אַרטיקל איז אַז זיי זענען אַלע אָפֿן מקור און איר קענען עקספּערימענט מיט זיי און אנדערע ענלעך מכשירים צו געפֿינען וואָס סוץ דיין דאַרף און ינפראַסטראַקטשער. פון קורס, אַלע וואַלנעראַביליטיז וואָס זענען געפֿונען זאָל זיין געלערנט פֿאַר אָנווענדלעך אין ספּעציפיש טנאָים, אָבער דאָס איז אַ טעמע פֿאַר אַ צוקונפֿט גרויס אַרטיקל.

איך האָפֿן אַז דער פירער, סקריפּס און יוטילאַטיז וועט העלפֿן איר און ווערן אַ סטאַרטינג פונט פֿאַר קריייטינג אַ מער זיכער ינפראַסטראַקטשער אין דער געגנט פון קאַנטאַינעריז.

מקור: www.habr.com