2. 程式人生 > >Docker安全自動化掃描工具對比測試

Docker安全自動化掃描工具對比測試

阿新 發佈:2018-12-16

題外話:

這點兒東西測試了快兩天,各種坑是真的多,望後來者可以引以為鑑

正文

本次對主流的Docker安全自動化掃描工具進行了測試比較,測試比較結果如下表所示:

工具 Clair Anchore DockerScan
工具 Clair Anchore DockerScan
環境搭建 複雜 簡單(慢) 簡單
安裝相容性
掃描 需要先上傳映象 直接掃描 直接掃描
掃描速度
漏洞資料庫 CVE CVE
掃描結果 漏洞 漏洞+其他 其他
Ubuntu OK OK OK
CentOS OK OK 未成功
報告輸出 html報告 控制檯報告(有格式排版) 控制檯報告(無格式排版)
其他說明 通過對容器的layer進行掃描,對映象進行特徵提取,依據特徵匹配CVE漏洞。 側重對映象的審計,通過對容器的layer進行掃描發現漏洞,基於CVE資料庫。功能強大,其中就包含了DockerScan的功能。 提取映象中的多種資訊,依據這些資訊人工判斷該映象是否存在安全隱患。

先上結論:建議使用Anchore 理由:功能最強大,使用最簡單

部分對比項說明:

1、環境搭建: Clair環境搭建依賴複雜眾多,需要修改一些配置檔案,同時需要go語言環境,環境搭建出錯概率極高,同時會因為系統環境不同而出現錯誤。 Anchore環境搭建簡單,需要同步漏洞資料庫,該過程比較耗時(約30-60分鐘)。環境相容性好,基本不出錯。 DockerScan

環境搭建簡單且很快,因為不需要漏洞資料庫。在CentOS下沒有測試成功。

2、掃描資料 Anchore可以掃描的功能最多,包含了Clair和DockerScan的主要功能。

既然推薦了Anchore,那自然是要詳細說明的!

Anchore安裝使用說明

1、安裝依賴

注:如果有就不用再安裝了 注:docker版本驗證:docker version

依賴 安裝說明
Docker >1.10
Epel-release yum install epel-release
Rpm-python yum install rpm-python
dpkg yum install dpkg
Python-pip yum install python-pip
2、安裝Anchore
安裝 安裝說明
安裝: pip install anchore
環境變數: export PATH=~/.local/bin:$PATH
安裝完確認: anchore --version
更新列表: anchore feeds list
更新資料庫: anchore feeds sync 實際中可能會執行失敗,相信博主是網路的問題,多執行幾次說不定哪次就執行成功了

更新過程是這樣的效果: (這張圖是網上扒來的,實際測試中取決於網路,網路好的話就是下圖這樣。博主在實際測試中,每次都是差不多有一半是掉線的!) 在這裡插入圖片描述

3、映象使用

拉取映象:docker pull nginx(以nginx為例) 檢視已安裝映象:docker images

效果是這樣的: 在這裡插入圖片描述

4、Anchore使用

幫助文件:anchore --help

常用功能: 對映象進行分析:anchore analyze --image nginx:latest --imagetype base 生成結果報告:anchore gate --image nginx:latest CVE漏洞掃描:anchore query --image nginx:latest cve-scan all 與純淨映象的區別:anchore query --image nginx:latest show-file-diffs base 列表檔案詳細:anchore query --image nginx:latest list-files-detail all 映象特徵提取:anchore toolbox --image nginx:latest show

5、詳細命令說明

(示例命令標紅色的引數為對應的說明。博主英語很差,翻譯是一條一條複製到百度翻譯裡面輸出的) (另外,在這裡翻譯了絕大多數,還有個別引數博主覺得沒什麼卵用,就不翻譯了)

analyze: anchore analyze --image nginx:latest --imagetype base

命令 說明
–force 即使資料庫中已存在分析也要進行分析
–image 處理指定的映象
–imagefile 在指定檔案中列出映象ID
–include-allanchore 包括所有映象
–dockerfile <file> 分析docker檔案映象
–imagetype <typetext> 指定正在分析的映象型別
–skipgates 不要將門作為分析的一部分
–layerstrategy 分析映象歷史中的策略的名稱

query: anchore query --image nginx:latest list-files-detail all

命令 說明
list-gem-detail 列出增長細節
show-dockerfile 顯示docker檔案
list-python-package-detail 列出python包的細節
show-pkg-diffs 顯示包的差異
has-final-gateaction 最後關門
get-retrieved-files 獲取檢索到的檔案
show-non-packaged-files 顯示非打包檔案
show-familytree 顯示家庭樹
list-java-package-detail 列出Java包的詳細資訊
list-files 列出檔案
list-npms 列出NPM
list-package-detail 列出包細節
list-packages 列出包
list-npm-detail 列出NPM細節
list-python-packages 列出python軟體包
list-image-attrs 列出影象吸引力
has-gateaction 關門
show-layer-info 顯示塗層資訊
show-layers 顯示圖層
list-gems 列表的增長
list-package-licenses 列出軟體包許可證
has-package 有包裝
list-java-packages 列出Java包
list-retrieved-files 列出檢索檔案
show-distro 展示發行版
list-content-search-matches 列表內容搜尋匹配
show-non-packaged-files-diff 顯示非打包檔案差異
show-file-diffs 顯示檔案差異
list-files-detail 詳細列出檔案
cve-scan-simple 簡單的漏洞掃描
size-bins 尺寸
cve-scan 漏洞掃描
base-status 基本狀態
distro-bins 分開儲物
common-packages 常用包裝

anchore query --image nginx:latest list-files-detail all

命令 說明
–image 處理指定映象ID
–imagefile 在指定檔案中列出映象ID
–include-allanchore 包括所有已知的映象

gate: anchore gate --image nginx:latest

命令 說明
–force 即使資料庫中已存在分析也要進行分析
–image 處理指定的映象
–imagefile 在指定檔案中列出映象ID
–include-allanchore 包括所有映象
–editpolicy 編輯指定映象的門策略
–rmpolicy 刪除指定映象的策略,恢復預設策略
–listpolicy 列出指定映象的當前門策略
–updatepolicy <file> 將輸入門策略檔案儲存為指定映象的策略
–policy <file> 使用指定的策略檔案而不是預設檔案
–run-bundle 使用anchore策略包進行評估
–bundlefile <file> 從指定檔案中使用指定的捆綁JSON
–usetag <imagetag> 使用指定標籤來使用Run評估輸入物件
–resultsonly 只顯示評估結果
–show-gatehelp 顯示可用於構建anchore策略的所有門名、觸發器和引數
–show-policytemplate 基於所有安裝的門/觸發器生成策略模板
–whitelist 編輯評估的門觸發器和可選白名單
–global-whitelist <file> 使用指定的全域性白名單檔案
–show-triggerids 在輸出中顯示觸發的門ID
–show-whitelisted 展示白名單

相關推薦

Docker安全自動化掃描工具對比測試

題外話: 這點兒東西測試了快兩天,各種坑是真的多,望後來者可以引以為鑑 正文 本次對主流的Docker安全自動化掃描工具進行了測試比較,測試比較結果如下表所示: 工具 Clair Anchore

安全自動化掃描測試平臺實現

前言 TesterHome有人專門加了我QQ問安全測試這個話題,所以這篇準備先聊聊持續交付中的安全測試。 現在資訊保安已經上升到了國家戰略的高度,特別是今年《中華人民共和國網路安全法》頒佈後,使用者隱私通過國家立法的方式被嚴格要求保護,另外一方面安全灰產行業風起雲湧,形

Docker視覺化管理工具對比(DockerUI、Shipyard、Rancher、Portainer)

1、前言       談及docker,避免不了需要熟練的記住好多命令及其用法,對於熟悉shell、技術開發人員而言,還是可以接受的,熟練之後,命令列畢竟是很方便的,便於操作及指令碼化。但對於命令列過敏、非技術人員,進行docker部署、管理是比較頭疼的,學習成本是

輕量級網頁安全漏洞掃描工具 Wapiti

                Wapiti是用Python編寫的指令碼,使用它需要Python的支援,也就是說要先安裝好Python。Wapiti執行的是“黑盒”方式的掃描,也就是說直接對網頁進行掃描,而不需要掃描Web應用程式的原始碼。Wapiti通過掃描網頁的指令碼和表單,查詢可以注入資料的地方,Wap

網路安全--埠掃描-工具(zenmap)

Zenmap is the official Nmap Security Scanner GUI. It is a multi-platform (Linux, Windows, Mac OS X, BSD, etc.) free and open source applic

伺服器安全 -- 埠掃描工具

x-scan:http://www.xfocus.net/tools/200507/1057.html 下載地址 執行的過程中可能會出現 如下錯誤 到網上下載一個  npptools.dll , 下載地址: http://download.csdn.net/detail

小白學習安全測試(三)——掃描工具-Nikto使用

sdn plugins 技術 use 開發 服務器 update 自動 網站目錄 掃描工具-Nikto #基於WEB的掃描工具,基本都支持兩種掃描模式。代理截斷模式,主動掃描模式 手動掃描:作為用戶操作發現頁面存在的問題,但可能會存在遺漏 自動掃描:基於字典,提高速度,但存

小白學習安全測試(四)——掃描工具-Vega

論壇 工作模式 bsp 用戶 出現 註意 修改內容 app 抓取數據 WEB掃描工具-Vega 純圖形化界面,Java編寫的開源web掃描器。兩種工作模式:掃描模式和代理模式【主流掃描功能】。用於爬站。處理表單,註入測試等。支持SSL:http://vega/ca.crt

DockerScan:Docker安全分析&測試工具

ext 帶來 issue secret 自身 python n) 承擔 幫助 DockerScan:Docker安全分析&測試工具 今天給大家介紹的是一款名叫DockerScan的工具,我們可以用它來對Docker進行安全分析或者安全測試。 項目主頁h

Selenium WebDriver 與 iOS 自動化測試 (做了一些初步的工具對比

Selenium官方Driver-IPhoneDriver:http://code.google.com/p/selenium/wiki/IPhoneDriverIf you are looking to use WebDriver with iOS mobile Safar

接口測試工具對比

bean pro 兩種 group 僅支持 測試 添加 容易 sample 接口測試的工具 可以進行接口測試的工具很多,這裏簡單介紹幾個: 1、loadrunner:一款商業性能測試工具,用來做接口測試,很好很強大 2、jmeter:一款開源的性能測試工具,操作

【jSQL-injection】Java自動化SQL註入測試工具—jSQL Injection v0.81

could 直接下載 err pro depend v0.8 eat 1.3 jar包 jsql-injection是Kali集成的一款使用java開發的Web滲透測試工具。最初該工具主要實施SQL註入,後來增加管理頁面暴力掃描、敏感文件猜測、Web shell、SQL s

關於nspm品類產品在行業用戶網絡架構中的研究分析(建議安全自動化運維工具開發者,了解)

nspm產品如何提升安全運維為配合NSPM產品在不同行業不同類型的網絡架構中最大限度的發揮產品優勢,探索不同網絡架構中對產品的適配性。分多個行業目前的傳統網絡架構與未來演進的架構進行深入調研。 從目前數據中心所使用協議的數據層上看,IT方案都是以二/三層網絡(例如以太網+IP網絡)為基礎的,例如GRE、VXL

性能測試工具對比-ngrinder jmeter loadunner

51cto 技術分享 分布 線程 圖片 mage ces size 支持 性能工具對比 JMeter基於UI操作,容易上手,但是不具備編程能力。其次JMeter基於線程模擬數千用戶幾乎不可能。Loadrunner這個可以說是應用最多的一個,很方便,但是還是太重。往後的方向肯

docker+selenium Grid搭建自動化分布式測試環境

connect try 資源 created ole sele registry www. web 當自動化測試需要考慮到兼容性的時候,之前的做法是每個執行機上安裝不同版本的瀏覽器,實際上這樣做會很浪費資源,現在有了docker容器化技術,讓一切變得簡單 1、首先安裝一

軟件測試_測試工具_APP測試工具_對比

我只 get jmeter 部分 對比 公司 baidu .org studio 以下是我自己整理的APP測試工具對比,各個工具相關並不全面。尤其關於收費一項,我只是針對自己公司的實際情況進行對比的,每個工具還有其他收費套餐可以選擇,詳情可進入相關官網進行查看 以下是部分官

Docker自動化測試及其測試實踐

Docker 與自動化測試 對於重複枯燥的手動測試任務,可以考慮將其進行自動化改造。自動化的成本在於自動化程式的編寫和維護,而收益在於節省了手動執行用例的時間。簡而言之,如果收益大於成本,測試任務就有價值自動化,否則受益的只是測試人員的自動化技能得到了提升。利用 Docker 的快速部署、環境共享等特性,

AppScan安全掃描工具-IBM Security App Scan Standard

1、AppScan是什麼?  AppScan是IBM的一款web安全掃描工具,可以利用爬蟲技術進行網站安全滲透測試,根據網站入口自動對網頁連結進行安全掃描,掃描之後會提供掃描報告和修復建議等。  AppScan有自己的用例庫,版本越新用例庫越全(用例庫越全面,對漏洞的檢測較全

Docker生成自動化測試環境映象

1>先下載映象檔案,可以通過docker search selenium/centos/python3等等關鍵字搜尋自己想要的一個初步的系統 例如 docker pull selenium/node-chrome 2>下載之後,通過docker run -it

滲透測試各種掃描工具集合(好用)

轉載自security-360.cn,覺得裡面一些資訊收集和git的工具挺不錯的,可以看看。 集合github平臺上的安全行業從業者自研開源掃描器的倉庫,包括子域名列舉,資料庫漏洞掃描,弱口令或資訊洩漏掃描,埠掃描,指紋識別以及其他大型掃描器或模組化掃描器。 專案地址:https://github.