利用Kubescape和Copa修补容器镜像中的漏洞
一、Kubescape
Kubescape 是一个开源的 Kubernetes 安全平台,涵盖了风险分析、安全合规性检查以及配置错误扫描等功能。它面向 DevSecOps 实践者或平台工程师,提供易用的命令行界面、灵活的输出格式及自动化扫描能力,为 Kubernetes 用户和管理员节省了宝贵的时间、精力和资源。Kubescape 是云原生计算基金会(CNCF)的沙箱项目。
二、镜像漏洞
容器镜像可能包含安全漏洞,这些漏洞可能被攻击者利用。这些漏洞包括过时的软件版本、未修补的安全漏洞或弱加密协议。通过漏洞扫描工具分析容器镜像及其依赖项,可以识别出镜像漏洞。
镜像漏洞可以分为两大类:
操作系统级漏洞:这类漏洞源于镜像所使用的底层操作系统,与你的应用程序代码无关。例如:你使用 alpine 作为容器镜像的基础镜像。
应用级漏洞:这类漏洞源于你的应用程序源代码问题。例如:代码中的 SQL 注入错误或软件中使用的过时 Python 库/包。
三、镜像修复
Kubescape 借助 Copa,通过将包更新至已修复版本,能够“修补”或“修复”镜像中的漏洞。
Copa 修补镜像的架构图概述:
四、工作原理
理解 Kubescape 镜像修补过程:
五、实战演示
运行以下命令扫描"nginx:1.23"镜像的漏洞:
kubescape scan image nginx:1.23
得到如下输出:
Kubescape 镜像扫描结果
现在运行修复命令:
kubescape patch -i nginx:1.23
得到如下输出:
参考资料
[1]Kubescape: https://kubescape.io/
[2]Copa: https://project-copacetic.github.io/copacetic/
[3]云原生计算基金会(CNCF)的沙箱项目: https://www.cncf.io/sandbox-projects/
[4]漏洞披露与活跃利用之间窗口的不断缩小: https://www.bleepingcomputer.com/news/security/hackers-scan-for-vulnerabilities-within-15-minutes-of-disclosure/
[5]另一文章: https://anubhav-gupta.medium.com/lfx-mentorship-my-experience-c0c451839735