Dónde encontrar las imágenes de la ventana acoplable reforzadas de seguridad

1

¿Hay algún servicio que ofrezca imágenes de Docker certificadas y reforzadas con seguridad para plataformas comunes como Python, PHP, Node, Java, etc. con 0 CVEs principales / críticos?

Actualmente, estamos usando los de RedHat, pero el problema es que incluso si escaneo la imagen provista por RedHat con un nivel A (significa limpio), a través de la base de datos CVE del registro de confianza de Docker, encontré al menos 50 críticas y más de 50 CVEs importantes en ellos; por lo tanto, no puedo establecer una línea de base por encima de la cual puedo escanear las aplicaciones agregadas por el usuario para CVE y podría decidir fallar la prueba de escaneo de seguridad.

Necesitamos ese tipo de servicio para establecer un canal seguro de construcción de imágenes, de modo que no comencemos a pasar por alto en los CVE a nivel de la aplicación, una vez que hayamos corregido todos los CVE en imágenes base u obtengamos imágenes base en las que todos los CVE se están arreglando regularmente, entonces podremos decidir claramente automáticamente que el CVE se debe a la aplicación y dejar de promocionar la imagen en la tubería.

    
pregunta Ijaz Ahmad Khan 16.10.2018 - 22:37
fuente

2 respuestas

2

Consideraría que los puntos de referencia del Centro de seguridad de Internet (CIS) son el estándar de oro actual para el endurecimiento. Le advierto contra una imagen endurecida y en su lugar le recomiendo que la endurezca utilizando un script de código abierto que pueda revisarse / aprobarse para asegurarse de que no está introduciendo fallas intencionadas o malintencionadas en su entorno.

Puede encontrar

CIS Benchmarks para Docker aquí: enlace

Un ejemplo de fortalecimiento de código abierto (hay muchos por ahí) se puede encontrar aquí: enlace

A continuación, Docker ofrece la siguiente secuencia de comandos para verificar que los cambios se hayan realizado correctamente: enlace

    
respondido por el HashHazard 16.10.2018 - 22:58
fuente
1

Las únicas imágenes que tienen algún tipo de garantía en Docker Hub son las imágenes "oficiales" mantenidas por Docker.

Sin embargo, es importante reconocer que los mantenedores han adoptado el enfoque de que no necesariamente actualizarán la imagen para cada CVE publicado (más aquí )

Si desea que el escáner CVE limpie las imágenes, le recomiendo algo como

  1. Comience con una imagen oficial
  2. Lanzar un contenedor basado en esa imagen
  3. Usa el administrador de paquetes para actualizar
  4. Guarde el contenedor resultante como una imagen
  5. (opcional) aplasta la imagen de vuelta a una sola capa

Y luego haga que este proceso se ejecute con la frecuencia necesaria para mantener una imagen limpia.

AFAIK nadie ha producido imágenes endurecidas certificadas más allá de esto.

    
respondido por el Rоry McCune 17.10.2018 - 10:47
fuente

Lea otras preguntas en las etiquetas