Ola Pessoal,
Neste post, irei mostrar a solução para verificar por vulnerabilidades na suas imagens de container de forma gratuita e com a possibilidade integração com plataforma de CI/CD e pode rodar em diversos sistemas operacionais.
Softwares que serão utilizados e as versões utilizadas:
– grype – link ( versão: 0.80.0 )
Primeiramente, para instalar o grype, voce pode seguir o guia no pagina do github na sessão de instalação
Depois que voce instalou, voce pode usar o comando abaixo:
grype image:versao
ubuntu $grype ubuntu:latest✔ Vulnerability DB [no update available]✔ Loaded image docker.io/library/ubuntu:latest✔ Parsed image sha256:26b329f2896d730c74c016509096cede626753fce54e38b0965c87e10feaf1d9✔ Cataloged contents 005a06e741f205a7a31692fd5ff3c5a21c77c04a7fe8aba2aa220f20ed088d1a├── ✔ Packages [1,141 packages]├── ✔ File digests [38,091 files]├── ✔ File metadata [38,091 locations]└── ✔ Executables [1,703 executables]✔ Scanned for vulnerabilities [118 vulnerability matches]├── by severity: 0 critical, 2 high, 41 medium, 64 low, 10 negligible (1 unknown)└── by status: 3 fixed, 115 not-fixed, 0 ignored
Explicando comando acima, você seleciona a image que você quer scanear, neste exemplo estamos usando a versão mais recente do ubuntu disponibilizado publicamente pela canonical
- Evitar que imagens em desenvolvimento com alcancem produção ou ambientes criticos
- Criação de relatórios simples ou mais elaborados
- Funciona com docker, containerd e outros Container Runtimes
- Criar baseline de segurança baseado em informação e reports atualizados
Com o grype, você pode de maneira eficiente detectar e mitigar riscos de segurança em containeres, antes de fazer o deploy em produção ou em qualquer ambiente e evite o use de imagens vulneráveis
Fonte:
– https://github.com/anchore/grype