Dhawaan ayaa la ogaaday iyada oo loo marayo boostada blog, natiijooyinka qalabka baaritaanka si loo aqoonsado jilicsanaanta balastar iyo aqoonsiga arrimaha amniga ku jira go'doonsan sawirrada weelka Docker.
Tijaabadu waxay muujisay in 4 ka mid ah 6-da scanner sawirrada Docker loo yaqaan lahaa nuglaansho halis ah taas oo loo oggol yahay in lagu weeraro skaanka laftiisa oo ay ku shaqeyso koodhkeeda nidaamka, xaaladaha qaarkood (iyadoo la adeegsanayo Snyk tusaale ahaan) oo leh mudnaanta xididka.
Weerar ahaan, weeraryahan kaliya wuxuu u baahan yahay inuu bilaabo hubinta bogiisa Dockerfile ama manifest.json, oo ay ku jiraan metadata si gaar ah loo qaabeeyey, ama ku dheji faylka faylka iyo faylka garaafka sawirka dhexdiisa.
Waxaan maarayn doonnaa inaan u diyaarinno noocyo looga faa'iideysto isticmaalka WhiteSource, Snyk, Fossa iyo nidaamyada xarigga.
Xidhmada Caddeeyo, asal ahaan loo qoray iyada oo maskaxda lagu hayo nabadgelyada, tusay amniga ugu fiican.
Dhibaatooyin laguma aqoonsan xirmada Trivy taasna waxay keentay in la soo gabagabeeyo in qalabka wax lagu baaro ee weelka Docker lagu dhex wado deegaanno go'doonsan ama loo isticmaalo oo keliya in la hubiyo sawirradooda, iyo sidoo kale in laga taxaddaraa marka qalabkaas lagu xirayo nidaamyada is-dhexgalka iswada ee iswada.
Sawir qaadayaashani waxay sameeyaan waxyaabo qalafsan oo qalad u nugul. Waxay la macaamilayaan xayeysiinta, soo saarista lakabyada / feylasha, la macaamilka maareeyayaasha xirmooyinka, ama falanqeynayaan qaabab kala duwan. Difaaca iyaga, intaad iskudayeyso inaad dejiso dhammaan kiisaska isticmaalka ee loogu talagalay kuwa horumariya, aad ayey u adag tahay. Aan aragno sida aaladaha kala duwan ay isugu dayaan una maareeyaan inay sameeyaan:
Dhibcaha shaacinta mas'uulka ah waxay ka tarjumaysaa ra'yigeyga shaqsiyeed: Waxaan u maleynayaa inay muhiim u tahay iibiyeyaasha softiweerku inay u dhaga nuglaadaan arrimaha amniga ee loo soo sheegay, si daacadnimo iyo hufnaan leh uga muujiyaan jilicsanaanta, si loo hubiyo in dadka isticmaala alaabtooda si rasmi ah loogu wargaliyay inay go'aan ka gaaraan cusboonaysiinta. Tan waxaa ka mid ah macluumaadka ugu muhiimsan ee cusbooneysiinta ay leedahay isbeddelo la xiriira amniga, furitaanka CVE si loola socdo loona la xiriiro dhibaatada, iyo suurtagalnimada in la ogeysiiyo macaamiishaada. Waxaan u maleynayaa inay tani macquul tahay gaar ahaan in la qaato haddii sheygu uu ku saabsan yahay CVE, iyadoo la siinayo macluumaad ku saabsan dayacanka barnaamijka. Sidoo kale, waxaan ku qanacsanahay jawaabta degdegga ah, waqtiyada saxda ah ee saxda ah, iyo xiriirka furan ee aan la leeyahay qofka ka warbixinaya weerarka.
FOSSA, Snyk, iyo WhiteSource, dayacanka ayaa lala xiriiray la wacaya maamulaha xirmada dibada si loo go'aamiyo ku-tiirsanaanta oo laguu oggolaado inaad abaabusho fulinta koodhkaaga adoo caddaynaya taabashada iyo amarrada nidaamka ku jira gragraw iyo faylasha Podfile.
En Snyk iyo WhiteSource waxay kaloo heleen nuglaansho, oo laxiriira amarrada nidaamka bilaabista ururkii baaray Dockerfile (tusaale ahaan, Snyk adoo adeegsanaya Dockefile waxaad beddeli kartaa yutiilitiga ls (/ bin / ls), oo ay sababtay iskaanka iyo WhiteSurce waxaad ku badali kartaa koodhka adoo adeegsanaya doodaha qaabka "echo" ; taabo /tmp/hacked_whitesource_pip ;=1.0 '«).
Anchore, u nuglaanta waxaa sababay adeegsiga skopeo utility in lala shaqeeyo sawirada Hawlgalku wuxuu u yaraaday in lagu daro cabirrada foomka '»os»: «$ (taabashada hacked_anchore)»' feylka loo yaqaan 'manifest.json file', kaas oo la beddelayo markii la wacayo skopeo iyada oo aan laga baxsanaynin (kaliya astaamaha «; & <ayaa laga saaray > ", Laakiin dhismaha" $ () ").
Isla qoraaga ayaa sameeyay daraasad ku saabsan waxtarka ogaanshaha nuglaanta lama dhajin iyada oo loo marayo skaanrada amniga ee haamaha loo yaqaan 'docker' iyo heerka been abuurka.
Qoraha ka sokoow wuxuu ku doodayaa in dhowr ka mid ah qalabkan toos u isticmaal maareeyayaasha xirmooyinka si aad u xalliso ku tiirsanaanta. Tani waxay si gaar ah uga dhigeysaa inay adagtahay inay difaacaan. Qaar ka mid ah maareeyayaasha ku-tiirsanaanta waxay leeyihiin feylal qaabeyn ah oo u oggolaanaya ka mid noqoshada lambarka qolofka.
Xitaa haddii siyaabahan fudud si uun wax looga qabto, soo wacayaasha maareeyayaasha xirmadan waxay si hubaal ah uga dhigan tahay duqeyn lacag. Tan, haddii si khafiif ah loo dhigo, ma fududeyneyso difaaca dalabka.
Natiijooyinka Imtixaanka ee 73 Sawirro oo ay ku jiraan nuglaansho la yaqaan, iyo sidoo kale qiimeynta waxtarka si loo ogaado jiritaanka codsiyada caadiga ah ee sawirrada (nginx, tomcat, haproxy, gunicorn, redis, ruby, node), waa lagala tashan karaa daabacaadda lagu sameeyay Xiriirka soo socda.