圖片來源: 

Aqua

當容器技術於企業IT基礎架構中的能見度愈來愈高之時,從使用容器映像檔階段開始,確保其應用的安全,也變成開發者必須注意的重要課題。

容器資安新創Aqua在近日釋出了一款免費的映像檔掃描工具MicroScanner。該公司表示,這款工具所使用漏洞資料庫,與付費商用版本所使用的資料庫相同,「也讓開發者可以得到不錯的掃描成效。」不過相比付費版本,MicroScanner的應用情境較為陽春,僅能在Dockerfile執行建置階段時進行掃描工作。

一旦MicroScanner發現映像檔內有高風險漏洞,系統會自動回傳安裝映像檔安裝失敗的訊息,同時,也會將相關資訊,使用JSON格式紀錄,回傳給使用者。藉此,從最初期的建置階段進行把關,企業就能確保映像檔安全無虞。

而相比該公司目前提供的商用容器掃描平臺解決方案,MicroScanner的使用較為不方便。如果開發者想要執行掃描工作,每次都得針對掃描的目標映像檔修改Dockerfile。對貢獻者、開發者不多的小型企業而言,使用上也許不會造成不便,「但可能就不適用於企業的大規模應用。」Aqua表示,付費的Aqua Container Security Platform,則可以與企業的管理平臺高度整合,直接掃描內部容器儲存庫的映像檔。不僅如此,它的應用情境不限於建置階段,還能與CI/CD流程整併,自動掃描映像檔,「而且不需要重新建置。」


Advertisement

更多 iThome相關內容