Docker與Snyk合作提供映像檔漏洞掃描服務

Docker宣布和與資安廠商Snyk合作強化容器的安全性，現在Snyk將會提供Docker Desktop和Docker Hub原生漏洞檢測以及修復服務，讓開發團隊可以使用更安全的映像檔，創建容器應用程式。

Docker提到，現代軟體開發會大量使用第三方開源程式碼，以提高程式開發的效率，但是這種方法有一個缺點，便是開發者難以掌握所使用的程式碼中，是否存在安全性漏洞，因此在Docker服務，容器漏洞掃描一直以來都是用戶詢問度最高的功能。

雖然開發者閱讀漏洞報告，可以知道哪些檔案受到漏洞影響，但Snyk表示，在容器架構下，不少開發人員並沒仔細查看或是重新編譯容易受到攻擊的相依項目，而是將選擇的基礎映像檔，直接加入到工具中使用，而這個過程使得漏洞清單無用武之地。

因此Docker才與Snyk合作，提供容器開發人員修復指南，在基礎映像檔使用上加入一層防護，Snyk可以提供開發者較佳的映像檔選項，建議選擇同一系列官方映像檔中，漏洞較少的映像檔，並在Docker推送更新給基礎映像檔的時候，向使用者發出提醒。

Snyk以node:10.4.0為例（下圖），當前用戶使用的基礎映像檔存在890個漏洞，並根據嚴重程度分開列出漏洞數量，Snyk會提供了多個較佳的替代版本供用戶選擇。Docker則提到，使用者不用試圖修復所有的漏洞，因為漏洞會持續不斷地被發現，開發團隊應該從風險度高的問題著手，解決真正有影響的漏洞，對於不太重要的漏洞，只要維持更新管道暢通，定期進行修復即可。

而對於使用者層的問題，Snyk將會引導用戶到Dockerfile中，標記出存在特定漏洞的地方，Snyk可以顯示Dockerfile的詳細訊息，以及完整的相依關係樹，讓用戶能夠更清楚地找出解決問題的方法。Snyk提到，這項漏洞掃描服務嵌入到開發者的工作流程中，可在維持應用程式交付速度的同時，又能夠提高開發安全性。