Docker宣布和與資安廠商Snyk合作強化容器的安全性,現在Snyk將會提供Docker Desktop和Docker Hub原生漏洞檢測以及修復服務,讓開發團隊可以使用更安全的映像檔,創建容器應用程式。

Docker提到,現代軟體開發會大量使用第三方開源程式碼,以提高程式開發的效率,但是這種方法有一個缺點,便是開發者難以掌握所使用的程式碼中,是否存在安全性漏洞,因此在Docker服務,容器漏洞掃描一直以來都是用戶詢問度最高的功能。

雖然開發者閱讀漏洞報告,可以知道哪些檔案受到漏洞影響,但Snyk表示,在容器架構下,不少開發人員並沒仔細查看或是重新編譯容易受到攻擊的相依項目,而是將選擇的基礎映像檔,直接加入到工具中使用,而這個過程使得漏洞清單無用武之地。

因此Docker才與Snyk合作,提供容器開發人員修復指南,在基礎映像檔使用上加入一層防護,Snyk可以提供開發者較佳的映像檔選項,建議選擇同一系列官方映像檔中,漏洞較少的映像檔,並在Docker推送更新給基礎映像檔的時候,向使用者發出提醒。

Snyk以node:10.4.0為例(下圖),當前用戶使用的基礎映像檔存在890個漏洞,並根據嚴重程度分開列出漏洞數量,Snyk會提供了多個較佳的替代版本供用戶選擇。Docker則提到,使用者不用試圖修復所有的漏洞,因為漏洞會持續不斷地被發現,開發團隊應該從風險度高的問題著手,解決真正有影響的漏洞,對於不太重要的漏洞,只要維持更新管道暢通,定期進行修復即可。

而對於使用者層的問題,Snyk將會引導用戶到Dockerfile中,標記出存在特定漏洞的地方,Snyk可以顯示Dockerfile的詳細訊息,以及完整的相依關係樹,讓用戶能夠更清楚地找出解決問題的方法。Snyk提到,這項漏洞掃描服務嵌入到開發者的工作流程中,可在維持應用程式交付速度的同時,又能夠提高開發安全性。


Advertisement

更多 iThome相關內容