怎样检查 Docker 镜像是不是存在漏洞

定期检查管道中的漏洞非常重要。要执行的步骤之一是对 Docker 映像执行漏洞扫描。

在几年前的一篇博客中，描述了如何扫描 Docker 镜像中的漏洞。后续博客展示了如何将扫描添加到 Jenkins 管道。 但是， 不再支持以前博客中使用的Anchore Engine 。Anchore也提供了 grype的替代解决方案 。在此博客中，您将更深入地了解 grype、它的工作原理、如何解决问题以及如何将其添加到您的 Jenkins 管道中。

但首先，为什么要检查漏洞？您必须及时了解最新的安全修复程序。许多安全漏洞是 公开的因此很容易被利用。因此，必须尽快修复安全漏洞，以最大限度地减少攻击面。但是如何跟上这个呢？您主要专注于业务，不想全职从事修复安全漏洞的工作。这就是为什么自动扫描您的应用程序和 Docker 镜像很重要。Grype 可以帮助扫描您的 Docker 镜像。Grype 将检查操作系统漏洞以及特定语言包（如 Java jar 文件）的漏洞并报告它们。这样，您就有了一个很棒的工具，可以为您自动执行安全检查。请注意，grype 不仅限于扫描 Docker 图像。它还可以扫描文件和目录，因此可用于扫描您的源代码。

在此博客中，您将创建一个包含 Spring Boot 应用程序的易受攻击的 Docker 映像。您将安装并使用 grype 以扫描图像并修复漏洞。最后，您将学习如何将扫描添加到您的 Jenkins 管道中。

本博客中使用的资源可以在 GitHub 上找到。

此博客所需的先决条件是：

基本的Linux知识；

基本的 Docker 知识；

基本的 Java 和 Spring Boot 知识。

易受攻击的应用程序

导航到Spring Initializr并选择 Maven 构建、Java 17、Spring Boot 2.7.6 和 Spring Web 依赖项。这不会是一个非常脆弱的应用程序，因为 Spring 已经确保您使用最新的 Spring Boot 版本。因此，将Spring Boot版本改为2.7.0。可以使用以下命令构建 Spring Boot 应用程序，该命令将为您创建 jar 文件：

$ mvn clean verify

您将扫描一个 Docker 镜像，因此需要创建一个 Dockerfile。您将使用一个非常基本的 Dockerfile，它只包含创建图像所需的最少指令。如果您想创建生产就绪的 Docker 映像，请阅读文章Docker 最佳实践和Spring Boot Docker 最佳实践。

FROM eclipse-temurin:17.0.1_12-jre-alpine

WORKDIR /opt/app

ARG JAR_FILE

COPY target/${JAR_FILE} app.jar

ENTRYPOINT ["java", "-jar", "app.jar"]在撰写本文时，Java 17 的最新 eclipse-temurin基础映像是版本 17.0.5_8。同样，使用旧版本以使其易受攻击。

dockerfile-maven-plugin为了构建 Docker 镜像，将使用 Spotify的一个分支。因此，将以下片段添加到pom文件中。

<plugin>

<groupId>com.xenoamess.docker</groupId>

<artifactId>dockerfile-maven-plugin</artifactId>

<version>1.4.25</version>

<configuration>

<repository>mydeveloperplanet/mygrypeplanet</repository>

<tag>${project.version}</tag>

<buildArgs>

<JAR_FILE>${project.build.finalName}.jar</JAR_FILE>

</buildArgs>

</configuration>

</plugin>

使用此插件的好处是您可以轻松地重用配置。可以通过单个 Maven 命令创建 Docker 映像。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!