Dove trovare le immagini della finestra mobile con protezione avanzata

1

Esiste un servizio che fornisce immagini Docker certificate e certificate per piattaforme comuni come Python, PHP, Node, Java, ecc. con 0 CVE principali / critici.

Attualmente stiamo usando quelli di RedHat, ma il problema è che, anche se eseguo la scansione dell'immagine RedHat fornita con un livello A (significa pulito), tramite il database CVE del registro attendibile di Docker, ho trovato almeno 50 critici e più di 50 importanti CVEs in loro; pertanto, non riesco a stabilire una linea di base sulla quale sia possibile scansionare le app aggiunte dall'utente per CVE e decidere di non eseguire il test di sicurezza.

Abbiamo bisogno di quel tipo di servizio per stabilire una pipeline di generazione di immagini sicure, in modo da non iniziare a trascurare i CVE a livello di applicazione, una volta sistemati tutti i CVE nelle immagini di base, o ottenere immagini di base in cui tutti i CVE vengono sistemati regolarmente, quindi saremo in grado di decidere chiaramente che il CVE è dovuto all'applicazione e smettere di promuovere l'immagine nella pipeline.

    
posta Ijaz Ahmad Khan 16.10.2018 - 22:37
fonte

2 risposte

2

Considererei il Center For Internet Security (CIS) Benchmark l'attuale gold standard per l'hardening. Metterei in guardia contro un'immagine pre-indurita e suggerisco invece di indurirla da sola usando uno script open source che può essere revisionato / approvato per garantire che non si introducano difetti dannosi / intenzionali nell'ambiente.

Benchmark CIS per Docker può essere trovato qui: link

Un esempio di hardening open source (ce ne sono molti là fuori) può essere trovato qui: link

Docker offre quindi il seguente script per verificare che le modifiche siano state apportate correttamente: link

    
risposta data 16.10.2018 - 22:58
fonte
1

Le uniche immagini che hanno una qualche forma di garanzia su Docker Hub sono le immagini "ufficiali" gestite da Docker.

Tuttavia è importante riconoscere che i manutentori hanno preso l'approccio che non necessariamente aggiorneranno l'immagine per ogni CVE rilasciato (più qui )

Se vuoi le immagini pulite dello scanner CVE, ti consiglio qualcosa come

  1. Inizia con un'immagine ufficiale
  2. Avvia un contenitore basato su quell'immagine
  3. Utilizza il gestore pacchetti per aggiornare
  4. Salva il contenitore risultante come immagine
  5. (facoltativo) schiaccia l'immagine in un unico livello

Quindi esegui questo processo regolarmente come richiesto per mantenere un'immagine pulita.

AFAIK nessuno ha prodotto immagini certificate certificate oltre questo.

    
risposta data 17.10.2018 - 10:47
fonte

Leggi altre domande sui tag