隨著Docker、Kubernetes技術的成熟，容器也成了當前最火的開發理念之一。它是云原生概念的重要組成部分，能夠以輕量化、低成本的方式支撐云上應用運行，具有可移植性、一致性和高效率等優點。據云原生計算基金會（CNCF）調查數據顯示，96%的企業組織已經開始積極使用或評估測試容器技術。

然而，就像網絡安全一樣，確保容器安全運行是一項復雜的活動，需要結合專業的人員、流程、技術和產品。不過目前，行業中已有多種類型的Docker安全管理工具可用于解決容器安全方面的問題，主要包括：

• Docker配置檢查類工具：主要掃描Docker鏡像端口和網絡配置，以識別和標記潛在問題；
• Docker訪問管理類工具：主要通過分配特定的角色和職責，幫助限制和監控Docker容器對資源的訪問；
• 可自定義的Docker策略類工具：允許用戶在容器中創建、實施和監控自己的安全策略，掃描各種文件類型，并專注于管理與容器映像關聯的元數據；
• Docker應用安全類工具：這類工具主要用于保護Docker容器中的應用程序代碼。

借助先進的Docker安全管理工具，企業組織可以自動掃描Docker鏡像并查找安全漏洞，發現其中已過時的軟件包或已知的安全漏洞；此外，這些工具還可以有效幫助安全人員分析Docker鏡像的內容，包括配置參數和關聯項等，從而識別可能導致容器應用安全隱患的潛在風險。本文收集整理了目前最流行的10款容器安全防護工具，并對其應用特點進行了分析。而且，企業組織可以免費的方式，使（試）用這些工具來解決和容器應用相關的安全問題。

01Docker Bench

圖片

Docker Bench是一款非常流行的容器安全防護工具，主要用于檢查已安裝Docker系統的安全性配置。它能夠根據常見的安全最佳實踐來自動評估Docker主機，并為增強Docker環境的安全性提供建議。

主要功能：

• 檢查Docker守護進程是否安全配置以及是否啟用了容器運行時安全特性；
• 識別Docker主機中的潛在漏洞，并提供全面的安全評估；
• 生成安全審計的詳細報告，并包含完整的測試結果信息；
• 幫助企業實現Docker環境遵循行業公認的最佳實踐；
• 可用性強，非常容易整合到現有的安全工作流中；
• 免費使用，適合尋找快速評估Docker安全配置工具的企業組織。

傳送門：https://github.com/docker/docker-bench-security

02Spectral

圖片

Spectral是一款功能表現強大的Docker漏洞掃描平臺，可以充當源代碼及其他開發資源的安全管控工具。它可以幫助容器應用開發者實時監控和檢測API密鑰、令牌、憑據和安全配置中的問題。

主要功能：

• 持續掃描和監控已知和未知的資產，以防數據泄露；
• 與流行的CI系統（比如Jenkins和Azure DevOps）無縫集成；
• 用戶可以創建和使用自定義檢測器，以滿足特定的安全需求；
• 支持500余種不同的堆棧，與編程語言無關；
• 面向開發者設計，提供干凈的用戶界面和命令行方法；
• 提供與Azure DevOps的深度集成，支持實時漏洞檢測、策略實施等功能；
• 注重代碼和數據的安全性和隱私性，并且不與GitHub連接；
• 可以免費試用，同時支持商業化的定制服務。

傳送門：https://spectralops.io/

03Clair

圖片

Clair是一款免費的開源版容器漏洞分析工具，可以對Docker容器中的漏洞進行靜態分析。容器應用開發者目前廣泛使用它來檢索容器鏡像，并將其與已知漏洞進行匹配。

主要功能：

• 允許用戶從用戶定義的各個數據源更新漏洞數據；
• 提供API接口，以便客戶查詢某個容器鏡像的漏洞數據庫；
• 可以對容器鏡像執行逐層分析，檢查每一層是否存在已知的安全漏洞；
• 可以為每個鏡像中存在的特性創建列表，以檢索容器鏡像；
• 能夠與Docker生態系統無縫集成；
• 提供名為Clair-scanner的命令行工具，能夠有效簡化掃描過程。

傳送門：https://github.com/quay/clair

04Anchore

圖片

Anchore是一款非常流行的商業版容器漏洞掃描工具。它借助一套全面的API和CLI工具，幫助開發環境、CI/CD管道、注冊中心和運行時環境的容器掃描過程實現自動化。

主要功能：

• 識別過時的軟件包版本及依賴項中的漏洞；
• 通過托管在Anchore服務器上的Bash腳本提供內聯掃描功能；
• 提供全面的掃描結果，包括關于鏡像的元數據和已識別問題的表格；
• 可靈活定制，允許用戶定義自己的安全策略；
• 幫助用戶實現容器漏洞掃描工作的自動化；
• 可以免費試用，同時提供“團隊版”“商業版”“終極+版”和“高級版”四種商業方案。

傳送門：https://anchore.com/container-vulnerability-scanning/

05JFrog

圖片

JFrog是一款功能比較全面的Docker漏洞掃描工具，能夠涵蓋Docker鏡像的整個生命周期。用戶可以使用JFrog來管理應用開發、漏洞分析、工件流控制和分發。

主要功能：

• 能夠快速掃描本地Docker鏡像以檢測安全漏洞；
• 能夠對Docker鏡像執行深度遞歸掃描；
• 能夠全面分析含有受感染工件的所有Docker鏡像；
• 能夠覆蓋Docker鏡像的整個生命周期安全防護；
• 可以免費試用，同時提供專業版、企業X版和企業+版。用戶也可以根據自身的需求定制方案。

傳送門：https://jfrog.com/integration/xray-docker-security-scanning/

06Aqua Security/ Trivy

圖片

Aqua Security的Trivy公司推出的一款面向Docker容器和Kubernetes集群的開源漏洞管理工具。用戶可以使用它來檢測各種操作系統和編程語言中的漏洞，包括Oracle Linux和Red Hat Enterprise Linux。

主要功能：

• 全面涵蓋操作系統軟件包和編程語言依賴項；
• 可以與Docker Desktop無縫集成，允許開發者直接從Docker控制平臺輕松掃描容器鏡像以查找漏洞；
• 提供快速無狀態掃描，使其易于集成到日常例程、腳本和持續集成（CI）管道中；
• 允許開發者解析和掃描不限數量的容器鏡像；
• 支持多種編程語言、操作系統軟件包和應用程序依賴項；
• 在軟件開發生命周期中支持工件和依賴項的早期掃描，遵循左移安全原則；
• 可以免費使用，無需付費購買。

傳送門：https://trivy.dev/

07Armo

圖片

Armo是另一款面向Docker鏡像和Kubernetes集群的流行的安全掃描工具，可以幫助企業組織在SLDC或第三方注冊中心的早期階段開展漏洞檢測工作。

主要功能：

• 為Docker容器提供運行時保護；
• 檢測操作系統軟件包、庫和應用程序依賴項中的漏洞，允許用戶采取適當的補救措施；
• 支持用戶定義和執行Docker容器的安全策略；
• 利用威脅情報及時了解最新的安全威脅和漏洞；
• 提供安全性審計和報告功能，幫助企業滿足合規需求；
• 提供免費版，同時也有付費的團隊版和企業版。

傳送門：https://www.armosec.io/

08Sysdig Falco

圖片

Falco是一款面向主機、容器和Kubernetes的運行時安全開源版解決方案，可以幫助企業實時了解容器運行的異常行為、潛在安全威脅和違規活動。

主要功能：

• 實時了解容器化應用程序，并檢測可能惡意的活動和異常行為；
• 旨在在云原生環境中無縫工作，包括Docker容器和Kubernetes
• 允許用戶根據具體需求定制安全規則。
• 詳細記錄檢測到的事件，提供容器活動的審計跟蹤記錄。
• 擁有活躍社區的開源項目。
• 免費使用，無需購買。

傳送門：https://falco.org/

09Rapid7  InsightVM

圖片

Rapid7公司為Docker漏洞掃描和容器安全提供了一系列工具。Rapid7 InsightVM廣泛用于端點掃描、風險優先級確定和修復。

主要功能：

• 可以深入了解容器鏡像帶來的風險。
• 可以掃描容器鏡像，發現托管系統，為漏洞賦予風險分值，并提供補救指導；
• 容器化掃描引擎允許跨Docker環境進行可擴展的漏洞掃描，易于部署，提供日期安排選項；
• 可以免費使用，同時支持定制化的商業方案。

傳送門：https://www.rapid7.com/products/insight

10Docker Scan

圖片

Docker Scan CLI是一款用來掃描Docker鏡像的內置工具。它依賴漏洞數據庫來識別已知的安全漏洞。因此，用戶需要確保Docker和數據庫版本最新，以獲得準確的檢測結果。

主要功能：

• 支持Docker Hub存儲庫的基本漏洞掃描，并自動掃描Docker鏡像中的漏洞；
• 通過將Docker鏡像推送到Docker Hub來掃描鏡像，以便用戶可以在存儲庫頁面上查看漏洞報告；
• Docker Scout提供了最新的漏洞信息，并給出了改進安全狀況的建議性修復步驟；
• 是一種非常簡單的掃描Docker鏡像漏洞方法，免費使用。

傳送門：https://github.com/docker/scan-cli-plugin

參考鏈接：https://spectralops.io/blog/top-10-docker-vulnerability-scanners-for-2023/