从一开始就安全:在码头工人桌面中向左移动漏洞扫描

2020年9月15日

当应用程序部署到生产环境后发现安全漏洞时,应用程序交付速度可能会受到影响. 对于向客户提供新功能来说,没有什么比回头去解决已经发布的应用程序或图片中发现的漏洞更有害的了. 在码头工人, 我们认为,平衡速度和安全性需求的最佳方法是将安全性作为开发过程中不可分割的一部分,留在应用交付周期中. 

将安全检查集成到码头工人 Scan中是双方合作的推动因素 Snyk是业内领先的应用程序安全扫描提供商之一. 这种伙伴关系, 今年5月宣布, 为开发人员构建和部署安全容器提供一种简单而精简的方法. 今天, 我很兴奋地分享最新的码头工人桌面边缘版本包括Snyk漏洞扫描. 这允许码头工人用户直接从码头工人桌面命令行触发本地码头工人文件和镜像扫描. 与码头工人扫描和Snyk的组合, 开发人员可以看到对容器映像的安全性有负面影响的开源漏洞. 现在您可以扩展您的工作流程,将漏洞测试作为内部开发循环的一部分. 通过码头工人的桌面命令行触发, Snyk漏洞扫描扩展了现有的漏洞, 熟悉漏洞检测流程, 并允许在开发过程的早期修复漏洞. 这种简单而持续的检查过程使得码头工人中心的漏洞更少, 更短的CI周期, 更快、更可靠地部署到生产环境中. 

接下来,让我来告诉你它是如何工作的.

码头工人. Snykfeature

开始, 通过认证的码头工人用户可以通过输入这些码头工人 CLI命令开始扫描

  • 找到他们的本地图像

码头工人把用户名/ imageName美元

  • 然后进行扫描

码头工人扫描用户名/ imageName美元

漏洞扫描左1

码头工人扫描 CLI命令支持多个标志,为运行扫描提供选项 

  • ——exclude-base 标志从CLI扫描结果中排除基本图像漏洞, 允许用户减少漏洞报告的数量, 并将漏洞报告的重点放在自己的图像更新上
  • ——json flag以JSON格式显示扫描结果
  • ——依赖性树 Flag在列出漏洞数据之前提供映像依赖关系的映射
  • --f, ——文件 标志表示与该映像相关联的码头工人file的位置, 使用码头工人file的内容扩展漏洞扫描结果,进一步识别所有图像清单中的潜在漏洞

您也可以在一个CLI命令中添加多个标志, 以增加使用漏洞数据的灵活性. 扫描返回扫描图像数据,包括:

  • 漏洞描述
  • 漏洞的严重性
  • 与漏洞相关联的图像层,  包括码头工人file命令, 如果你已经关联了码头工人file扫描
  • 利用成熟度,这样您就可以很容易地确定哪些漏洞具有已知的有效利用
  • 可用的补救建议,  如果基本映像已过时,则进行重建, 更薄的替代图像,可以帮助减少漏洞, 或解决漏洞的软件包升级

漏洞扫描左2

通过码头工人的桌面 CLI调用扫描允许您迭代地测试新的漏洞, 同时进行图像更新, by:

  • 使图像更新
  • 运行一个扫描 
  • 发现最新更新中引入的新漏洞
  • 进行更多更新以删除这些漏洞
  • 通过运行另一次扫描来确认漏洞已清除

您可以从今天的最新版本开始利用这一点 码头工人桌面边缘.

在你下载了新文件之后, 你可以获得更多关于码头工人扫描功能的详细信息 文档.

最后,我们有一个 即将到来的会议 下面将介绍这个新版本中增强的安全功能的内部工作原理. 你可以在这里获得更多信息并注册参加网络研讨会 link. 

请继续关注码头工人中心触发漏洞扫描的进一步更新.  

下一个步骤:

免费注册 Snyk ID 而且 阅读Snyk的博客 了解关于集成的更多信息

反馈

关于“安全从一开始:将漏洞扫描从码头工人桌面移到左边”的零思考

社区全体

加入我们在2022年9月1日举行的下一次社区全体行动. 这次活动对码头工人社区和员工来说是一次难得的机会. 不要错过这个特别的聚会与社区新闻, 公司及产品更新, 演示, 特定于语言的歌曲, 这是我们第一次虚拟会议.

现在注册