@levinzhang
2016-05-15T21:21:24.000000Z
字数 1533
阅读 489
by Chris Swan on May 10, 2016
Docker Inc宣布正式提供Docker安全扫描功能,之前它被称为Nautilus项目。这个功能的发布还伴随着CIS Docker Security Benchmark的更新,使其与Docker 1.11.0保持一致,Docker Bench工具也进行了更新,它可以检查主机和daemon配置是否匹配推荐的安全基准。
Docker Inc宣布正式提供Docker安全扫描(Docker Security Scanning)功能,之前它被称为Nautilus项目。这个功能的发布还伴随着CIS Docker Security Benchmark的更新,使其与Docker 1.11.0保持一致,Docker Bench工具也进行了更新,它可以检查主机和daemon配置是否匹配推荐的安全基准。
从2016年5月10日开始,Docker Cloud的私有repo客户能够在有限的时间范围内免费体验安全扫描的特性,并且将会迅速扩展至所有的Docker Cloud用户。安全扫描也将会成为Docker Datacenter的一个集成特性。扫描将会集成到“构建、传送、运行”生命周期之中,其过程会分为如下四步:
安全扫描引擎能够在静态链接的二进制文件(statically linked binaries)中找到对安全至关重要的软件,如OpenSSL,所以它不仅仅是扫描文件并创建哈希。但是,它依赖于特定语言的支持模块,因此现在还不能用于Golang的静态二进制文件。
据Docker Inc的安全主管Nathan McCauley介绍,扫描技术已经保护了对Docker Hub“超过4亿次的pull”请求,但是他并没有提及在这些请求中包含了多少已知有漏洞的软件。McCauley接着说官方的Docker镜像将会全部使用安全扫描,他们致力于“更及时地”修复新发现的问题。
CIS Docker Security Benchmark最初是在一年前发布的,它是与Docker 1.6共同使用的。McCauley并不期望Benchmark会与Docker引擎的发布保持相同的节奏,但是Docker Bench工具的更新会比Benchmark更加频繁,以便于跟踪新的功能。
McCauley还非常热情地介绍了Docker Trusted Registry(DTR)基于角色的访问控制(Role Based Access Control,RBAC)功能以及Docker Universal Control Plane(UCP)产品。基于属性的访问控制(Attribute Based Access Control,ABAC)功能可能也会推出,因为有一些客户要求该功能。这些安全功能的发布有一部分是提供给所有的Docker用户的,不过他们主要的关注点在于收费(premium)的产品和服务,Docker Inc似乎专注于管理和安全功能市场,这些功能构建在大量流行的底层开源项目之上。
查看英文原文:Docker Security Scanning