User Tools

Site Tools


public:project:dockervulnscanner

Docker Vulnerability Scanner

Kurzbeschreibung

In Zeiten von DevOps und Continuous Integration (CI) hat Docker, eine Software Containerization Plattform, an großer Beliebtheit zugelegt. Mit Docker lassen sich Applikationen simpel und schnell bereitstellen und teilen unabhängig des unterliegenden Betriebssystems.

Doch gerade das Teilen von Container Applikationen birgt einige Gefahren. Schlecht konfigurierte oder veraltete Software in den Containern kann zu fatalen Folgen für seine Nutzer führen. Überprüft werden fremde Docker-Container selten, da es die Geschwindigkeit aus dem Deployment-Prozess nehmen würde. Docker selbst bietet eine Überprüfung auf Schwachstellen nur für private Repositories an.

Die Sicherheit von öffentlichen Docker-Images ist kaum überprüft. Eine zentrale öffentliche Resource für sicherheitsrelevante Statistiken scheint es nicht zu geben, weder von Docker noch einer anderen Firma.

Aus diesem Projekt soll ein Docker-Vulnerability-Scanner-Service für öffentliche Repositories kommen. Ob dieser selbst entwickelt oder ein bereits bestehendes Produkt verwendet wird, entscheiden die betriebenen Nachforschungen. Prinzipiell soll die Qualität und Sicherheit von öffentlichen Docker-Images erhöht werden.

Das Projekt soll Vulnerability-Statistiken der public Docker Registry (dockerhub) über eine Webseite als Service zur Verfügung stellen.

Mitglieder

  • strassi (Lead)
  • Alex

Projektfortschritt

Zurzeit wird nach Vulnerability Scannern mit Docker-Integration gesucht. Ziel ist es Vorteile, Nachteile, Features und Lizenz dieser Scanner zu erheben um feststellen zu können, ob die Welt einen weiteren VUlnerability-Scanner benötigt. 8-)

Aktuell konnten folgende kommerzielle Docker Vulnerability Scanner gefunden werden:

  • Advisor, IBM
  • Atomic Scan, RedHat
  • Docker Security Scanning, Docker Inc.
  • Clair, CoreOS
  • Layered Insight
  • Peekr, Aqua Security
  • TwistLock

Ein Projekt, welches sich von der Masse an Vulnerability Scannern abhebt, ist Dockerscan. Der Fokus der Software liegt, laut README.md, nicht im Scannen nach SChwachstellen sondern in den Angriffen auf Docker-Images.

Das Projekt wird unter der BSD-Lizenz vertrieben. Als Programmiersprache wird Python 3.5 verwendet.

Nächster Schritt im Projekt ist es folgenden Fragen zu beantworten:

  • Wie sind Docker-Images aufgebaut?
  • Wie funktioniert Vulnerability-Scanning?
  • Muss ein Docker-Image instanziert werden um es zu überprüfen?

Das Projekt hat sich nach Brainstorming und Research in folgende Richtung entwickelt:

Eine Webseite über Statistiken für

  • Image Reuse
  • Vulnerabilities
  • Zuordnung Image-Vulnerabilities

über die gesamte public Docker Registry. Damit können der Ursprung von Vulnerabilities und Trends identifiziert werden.

Geplant ist eine Veröffentlichung der Ergebnisse über eine Webseite (dockerwatch.segvault.space).

public/project/dockervulnscanner.txt · Last modified: 2018/11/01 12:22 by strassi