web-dev-qa-db-fra.com

Où trouver les images docker sécurisées

Existe-t-il un service qui fournit des images Docker certifiées et sécurisées pour les plates-formes courantes telles que Python, PHP, Node, Java, etc. avec 0 CVE majeur/critique.

Actuellement, nous utilisons ceux de RedHat mais le problème est que, même si je numérise l'image fournie par RedHat avec un niveau A (signifie propre), via la base de données CVE du registre de confiance Docker, j'ai trouvé au moins 50 CVE critiques et plus de 50 principaux CVE dans leur; par conséquent, je ne peux pas établir de ligne de base au-dessus de laquelle je peux analyser les applications ajoutées par l'utilisateur pour les CVE et je pourrais décider d'échouer au test d'analyse de sécurité.

Nous avons besoin de ce type de service pour établir un pipeline de création d'images sécurisé, afin de ne pas commencer à ignorer les CVE au niveau de l'application, une fois que nous avons corrigé tous les CVE dans les images de base ou obtenu des images de base dans lesquelles tous les CVE sont corrigés. régulièrement, nous pourrons alors décider clairement et automatiquement que le CVE est dû à l'application et cesser de promouvoir l'image dans le pipeline.

6
Ijaz Ahmad Khan

Je considérerais le Center For Internet Security (CIS) Benchmarks comme l'étalon-or actuel pour le durcissement.
.

Les références CIS pour Docker peuvent être trouvées ici .

Un exemple de durcissement open source (il y en a beaucoup) peut être trouvé ici .

Docker propose alors le script suivant pour vérifier que les modifications ont bien été effectuées.

4
HashHazard

Les seules images qui ont une forme d'assurance sur Docker Hub sont les images "officielles" maintenues par Docker.

Cependant, il est important de reconnaître que les responsables ont adopté l'approche qu'ils ne vont pas nécessairement mettre à jour l'image pour chaque CVE publié (plus ici )

Si vous voulez des images propres du scanner CVE, je recommanderais quelque chose comme

  1. Commencez avec une image officielle
  2. Lancer un conteneur basé sur cette image
  3. Utilisez le gestionnaire de packages pour mettre à jour
  4. Enregistrez le conteneur résultant sous forme d'image
  5. (facultatif) réduisez l'image en une seule couche

Et ensuite, exécutez ce processus aussi régulièrement que nécessaire pour maintenir une image propre.

AFAIK personne n'a produit d'images durcies certifiées après cela.

2
Rory McCune