隨著Docker、Kubernetes技術(shù)的成熟，容器也成了當(dāng)前最火的開發(fā)理念之一。它是云原生概念的重要組成部分，能夠以輕量化、低成本的方式支撐云上應(yīng)用運行，具有可移植性、一致性和高效率等優(yōu)點。據(jù)云原生計算基金會（CNCF）調(diào)查數(shù)據(jù)顯示，96%的企業(yè)組織已經(jīng)開始積極使用或評估測試容器技術(shù)。

然而，就像網(wǎng)絡(luò)安全一樣，確保容器安全運行是一項復(fù)雜的活動，需要結(jié)合專業(yè)的人員、流程、技術(shù)和產(chǎn)品。不過目前，行業(yè)中已有多種類型的Docker安全管理工具可用于解決容器安全方面的問題，主要包括：

Docker配置檢查類工具：主要掃描Docker鏡像端口和網(wǎng)絡(luò)配置，以識別和標(biāo)記潛在問題；

Docker訪問管理類工具：主要通過分配特定的角色和職責(zé)，幫助限制和監(jiān)控Docker容器對資源的訪問；

可自定義的Docker策略類工具：允許用戶在容器中創(chuàng)建、實施和監(jiān)控自己的安全策略，掃描各種文件類型，并專注于管理與容器映像關(guān)聯(lián)的元數(shù)據(jù)；

Docker應(yīng)用安全類工具：這類工具主要用于保護Docker容器中的應(yīng)用程序代碼。

借助先進的Docker安全管理工具，企業(yè)組織可以自動掃描Docker鏡像并查找安全漏洞，發(fā)現(xiàn)其中已過時的軟件包或已知的安全漏洞；此外，這些工具還可以有效幫助安全人員分析Docker鏡像的內(nèi)容，包括配置參數(shù)和關(guān)聯(lián)項等，從而識別可能導(dǎo)致容器應(yīng)用安全隱患的潛在風(fēng)險。本文收集整理了目前最流行的10款容器安全防護工具，并對其應(yīng)用特點進行了分析。而且，企業(yè)組織可以免費的方式，使（試）用這些工具來解決和容器應(yīng)用相關(guān)的安全問題。

01

Docker Bench

Docker Bench是一款非常流行的容器安全防護工具，主要用于檢查已安裝Docker系統(tǒng)的安全性配置。它能夠根據(jù)常見的安全最佳實踐來自動評估Docker主機，并為增強Docker環(huán)境的安全性提供建議。

主要功能：

檢查Docker守護進程是否安全配置以及是否啟用了容器運行時安全特性；

識別Docker主機中的潛在漏洞，并提供全面的安全評估；

生成安全審計的詳細(xì)報告，并包含完整的測試結(jié)果信息；

幫助企業(yè)實現(xiàn)Docker環(huán)境遵循行業(yè)公認(rèn)的最佳實踐；

可用性強，非常容易整合到現(xiàn)有的安全工作流中；

免費使用，適合尋找快速評估Docker安全配置工具的企業(yè)組織。

傳送門：

https://github.com/docker/docker-bench-security

02

Spectral

Spectral是一款功能表現(xiàn)強大的Docker漏洞掃描平臺，可以充當(dāng)源代碼及其他開發(fā)資源的安全管控工具。它可以幫助容器應(yīng)用開發(fā)者實時監(jiān)控和檢測API密鑰、令牌、憑據(jù)和安全配置中的問題。

主要功能：

持續(xù)掃描和監(jiān)控已知和未知的資產(chǎn)，以防數(shù)據(jù)泄露；

與流行的CI系統(tǒng)（比如Jenkins和Azure DevOps）無縫集成；

用戶可以創(chuàng)建和使用自定義檢測器，以滿足特定的安全需求；

支持500余種不同的堆棧，與編程語言無關(guān)；

面向開發(fā)者設(shè)計，提供干凈的用戶界面和命令行方法；

提供與Azure DevOps的深度集成，支持實時漏洞檢測、策略實施等功能；

注重代碼和數(shù)據(jù)的安全性和隱私性，并且不與GitHub連接；

可以免費試用，同時支持商業(yè)化的定制服務(wù)。

傳送門：

https://spectralops.io/

03

Clair

Clair是一款免費的開源版容器漏洞分析工具，可以對Docker容器中的漏洞進行靜態(tài)分析。容器應(yīng)用開發(fā)者目前廣泛使用它來檢索容器鏡像，并將其與已知漏洞進行匹配。

主要功能：

?允許用戶從用戶定義的各個數(shù)據(jù)源更新漏洞數(shù)據(jù)；

?提供API接口，以便客戶查詢某個容器鏡像的漏洞數(shù)據(jù)庫；

?可以對容器鏡像執(zhí)行逐層分析，檢查每一層是否存在已知的安全漏洞；

?可以為每個鏡像中存在的特性創(chuàng)建列表，以檢索容器鏡像；

?能夠與Docker生態(tài)系統(tǒng)無縫集成；

?提供名為Clair-scanner的命令行工具，能夠有效簡化掃描過程。

傳送門：

https://github.com/quay/clair

04

Anchore

Anchore是一款非常流行的商業(yè)版容器漏洞掃描工具。它借助一套全面的API和CLI工具，幫助開發(fā)環(huán)境、CI/CD管道、注冊中心和運行時環(huán)境的容器掃描過程實現(xiàn)自動化。

主要功能：

識別過時的軟件包版本及依賴項中的漏洞；

通過托管在Anchore服務(wù)器上的Bash腳本提供內(nèi)聯(lián)掃描功能；

提供全面的掃描結(jié)果，包括關(guān)于鏡像的元數(shù)據(jù)和已識別問題的表格；

可靈活定制，允許用戶定義自己的安全策略；

幫助用戶實現(xiàn)容器漏洞掃描工作的自動化；

可以免費試用，同時提供“團隊版”“商業(yè)版”“終極+版”和“高級版”四種商業(yè)方案。

傳送門：

https://anchore.com/container-vulnerability-scanning/

05

JFrog

JFrog是一款功能比較全面的Docker漏洞掃描工具，能夠涵蓋Docker鏡像的整個生命周期。用戶可以使用JFrog來管理應(yīng)用開發(fā)、漏洞分析、工件流控制和分發(fā)。

主要功能：

能夠快速掃描本地Docker鏡像以檢測安全漏洞；

能夠?qū)ocker鏡像執(zhí)行深度遞歸掃描；

能夠全面分析含有受感染工件的所有Docker鏡像；

能夠覆蓋Docker鏡像的整個生命周期安全防護；

可以免費試用，同時提供專業(yè)版、企業(yè)X版和企業(yè)+版。用戶也可以根據(jù)自身的需求定制方案。

傳送門：

https://jfrog.com/integration/xray-docker-security-scanning/

06

Aqua Security/ Trivy

Aqua Security的Trivy公司推出的一款面向Docker容器和Kubernetes集群的開源漏洞管理工具。用戶可以使用它來檢測各種操作系統(tǒng)和編程語言中的漏洞，包括Oracle Linux和Red Hat Enterprise Linux。

主要功能：

全面涵蓋操作系統(tǒng)軟件包和編程語言依賴項；

可以與Docker Desktop無縫集成，允許開發(fā)者直接從Docker控制平臺輕松掃描容器鏡像以查找漏洞；

提供快速無狀態(tài)掃描，使其易于集成到日常例程、腳本和持續(xù)集成（CI）管道中；

允許開發(fā)者解析和掃描不限數(shù)量的容器鏡像；

支持多種編程語言、操作系統(tǒng)軟件包和應(yīng)用程序依賴項；

在軟件開發(fā)生命周期中支持工件和依賴項的早期掃描，遵循左移安全原則；

可以免費使用，無需付費購買。

傳送門：

https://trivy.dev/

07

Armo

Armo是另一款面向Docker鏡像和Kubernetes集群的流行的安全掃描工具，可以幫助企業(yè)組織在SLDC或第三方注冊中心的早期階段開展漏洞檢測工作。

主要功能：

為Docker容器提供運行時保護；

檢測操作系統(tǒng)軟件包、庫和應(yīng)用程序依賴項中的漏洞，允許用戶采取適當(dāng)?shù)难a救措施；

支持用戶定義和執(zhí)行Docker容器的安全策略；

利用威脅情報及時了解最新的安全威脅和漏洞；

提供安全性審計和報告功能，幫助企業(yè)滿足合規(guī)需求；

提供免費版，同時也有付費的團隊版和企業(yè)版。

傳送門：

https://www.armosec.io/

08

Sysdig Falco

Falco是一款面向主機、容器和Kubernetes的運行時安全開源版解決方案，可以幫助企業(yè)實時了解容器運行的異常行為、潛在安全威脅和違規(guī)活動。

主要功能：

實時了解容器化應(yīng)用程序，并檢測可能惡意的活動和異常行為；

旨在在云原生環(huán)境中無縫工作，包括Docker容器和Kubernetes

允許用戶根據(jù)具體需求定制安全規(guī)則。

詳細(xì)記錄檢測到的事件，提供容器活動的審計跟蹤記錄。

擁有活躍社區(qū)的開源項目。

免費使用，無需購買。

傳送門：

https://falco.org/

09

Rapid7InsightVM

Rapid7公司為Docker漏洞掃描和容器安全提供了一系列工具。Rapid7 InsightVM廣泛用于端點掃描、風(fēng)險優(yōu)先級確定和修復(fù)。

主要功能：

可以深入了解容器鏡像帶來的風(fēng)險。

可以掃描容器鏡像，發(fā)現(xiàn)托管系統(tǒng)，為漏洞賦予風(fēng)險分值，并提供補救指導(dǎo)；

容器化掃描引擎允許跨Docker環(huán)境進行可擴展的漏洞掃描，易于部署，提供日期安排選項；

可以免費使用，同時支持定制化的商業(yè)方案。

傳送門：

https://www.rapid7.com/products/insight

10

Docker Scan

Docker Scan CLI是一款用來掃描Docker鏡像的內(nèi)置工具。它依賴漏洞數(shù)據(jù)庫來識別已知的安全漏洞。因此，用戶需要確保Docker和數(shù)據(jù)庫版本最新，以獲得準(zhǔn)確的檢測結(jié)果。

主要功能：

支持Docker Hub存儲庫的基本漏洞掃描，并自動掃描Docker鏡像中的漏洞；

通過將Docker鏡像推送到Docker Hub來掃描鏡像，以便用戶可以在存儲庫頁面上查看漏洞報告；

Docker Scout提供了最新的漏洞信息，并給出了改進安全狀況的建議性修復(fù)步驟；

是一種非常簡單的掃描Docker鏡像漏洞方法，免費使用。