伸手党的容器镜像加固流程
人在江湖飘,哪能不挨刀
说了好几期 CIS 之类的运行时安全问题,K8s 在运行过程中,还有个常见的安全威胁就是镜像漏洞,不少同学都有在实施过程中因为镜像漏洞问题被吊打的经验,今天就结合个人经验,说说镜像漏洞修复的一般流程。
这里主要指的是第三方镜像的修复过程,Scratch 不在此列。
修复任务分析
通常扫描报告会明确指明确切的问题源头、相关软件包、问题版本、修复版本等,首先要根据报告判断修复的目标。修复目标并不一定是固定的,有些情况下可能仅需要修复公开的高危漏洞,有些可能要求更多。
我们都知道,容器镜像是个分层结构,底层通常由操作系统(例如 debian:buster-slim
)或者特定运行时(例如 openjdk:16
)构成;另外可能构建应用程序,或者直接通过 COPY
/ADD
的方式加入应用程序;另外还会通过 CMD
、ENV
等指令设置运行环境等。软件漏洞多发于底层和应用程序层,因此这里需要根据扫描报告,确认我们的修复目标。
软件配置问题也可能造成漏洞,可以另行讲解。
应用层漏洞
如果要修复的问题是处于应用层,就要判断该镜像是否为官方镜像,如果答案是肯定的,则可以直接更新官方镜像,通常同一个大版本下的小版本更新,都是兼容的,可以更新之后直接进行测试和复查。
如果官方没有针对性的修复,或者镜像并未更新,就可能需要自己构建镜像了。
如果是开源软件,强烈建议提交 Issue 或者 PR
基础层漏洞
如果是基础层漏洞,除了可以像应用层修复一样,检查版本更新之外,还有另一个选项,就是更换不同的基础层,例如从 Debian 更换为 Ubuntu,这种方式对于 all-in-one 形式的应用(例如大多数用 golang 构建的应用)尤其有效,如果应用程序依赖众多,就不合适了。另外众所周知,Alpine 和我们常用的发行版差异较大,因此也不太合适直接切换。
镜像构建
是不是就一个 docker build
就可以了?多数时候是的。不过要分成几种情况。
- 有
Dockerfile
的情况- 官方已经发布二进制物料:这种情况通过修改
Dockerfile
加入更新的二进制文件之后,执行docker build
即可。 - 官方未发布二进制物料:这种就需要根据源码进行构建,然后再生成 Docker 镜像。
- 官方已经发布二进制物料:这种情况通过修改
- 没有
Dockerfile
的情况- 有的软件源码中通过
Makefile
等方式提供了从二进制到镜像的构建方法,通常需要在README.md
或者BUILD.md
中查找线索。 - 更换底层的情况,通常需要自己照猫画虎,重新编写 Dockerfile。
- 还有一种比较尴尬的情况——有二进制物料,但是没 Dockerfile,这种我通常会使用
docker cp
->docker commit
的不入流方式。 - 另外一种尴尬情况就是,官方只提供了 Docker 镜像,但是我们想要换掉基础层,这种情况和上面类似,用
docker cp
把官方镜像中的应用文件复制出来即可。
- 有的软件源码中通过
复测
在完成修复步骤之后,可以针对性地进行复测,查看修复情况,循环往复直到完成目标为止。
- 我所理解的Remoting(1):Marshaling & Activation[上篇]
- oracle 12c 常见报告获取-AWR
- 人人公司收购美国卡车社区 Trucker Path,未来或探索无人驾驶
- WCF技术剖析之二十二: 深入剖析WCF底层异常处理框架实现原理[下篇]
- 《WCF的绑定模型》博文系列汇总[共6篇]
- 快来看看难民营里的高科技超市
- WCF技术剖析之二十三:服务实例(Service Instance)生命周期如何控制[中篇]
- 如何通过自定义MessageFilter的方式利用按键方式操作控件滚动条[附源代码]
- WCF技术剖析之十九:深度剖析消息编码(Encoding)实现(下篇)
- 《WCF技术剖析》博文系列汇总[持续更新中]
- 关于服务器的运行寿命 你应该知道这些事
- WCF技术剖析之二十三:服务实例(Service Instance)生命周期如何控制[下篇]
- WCF技术剖析之二十一: WCF基本的异常处理模式[上篇]
- 树大招风:细数2017年加密货币市场的幺蛾子事件
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法