Container: Docker Scanner prüft private Repositories


    Tags: ,

    Docker hat mit Docker Security Scanning einen Service für Docker Cloud vorgestellt. Der Dienst prüft private Repositories von Nutzern darauf hin, ob diese bekannte Sicherheitslücken aufweisen. Technische Details dazu hat das Unternehmen in diesem Blog-Beitrag veröffentlicht.

    Docker Security Scanning - Das Ergebnis eines Prüflaufs, der Sicherheitslücken (rot) an den Tag brachteIn der zweiten Jahreshälfte will Docker die Scanning-Funktion auf Docker Datacenter (DDC) ausweiten, das der Hersteller im Februar 2016 vorstellte (siehe diesen Blog-Post). DDC ist eine Lösung für das Management und die "Orchestrierung" von IT-Umgebungen, in denen Komponenten und Anwendungen in Form von Docker-Containern bereitgestellt werden. Die Basis bilden sowohl Open-Source-Programmpakete wie Kubernetes als auch kommerzielle Applikationen.

    Analyse aller Komponenten

    Docker Cloud ist eine Plattform, die den gesamten Entwicklungs- und Bereitstellungsprozess von Container-basierten Anwendungen abdeckt. Einen Schwerpunkt bilden dabei Mikroservices. Sie lassen sich separat nutzen, aber auch mit anderen Mikrodiensten zu komplexeren Anwendungen kombinieren.

    Doch zurück zu Security Scanning: Die Sicherheits­lösung prüft alle Docker-Images, bevor diese implementiert werden. Die Ergebnisse werden im Detail beschrieben und auf die einzelnen Komponenten beziehungsweise Ebenen (Layer) heruntergebrochen. Findet der Scanner eine Schwachstelle, meldet er diese dem Programmierer beziehungsweise Systemverwalter.

    Komponenten des Dienstes

    Nach Angaben von Docker deckt der Security Scanner den gesamten Lebenszyklus einer "containerisierten" App ab. Der Scanner wird aktiv, sobald eine Anwendung in das Repository überführt wurde. Der Dienst umfasst neben der Scan-Software eine Datenbank, ein Framework für Plug-ins sowie eine Validierungsfunktion. Diese greift auf mehrere CVE-Datenbanken (Common Vulnerabilities and Exposures) zurück.

    Docke Security Scanning - Wie der Scanvorgang abläuftDocker führt nach eigenen Angaben im Gegensatz zu ähnlichen Services eine Analyse der Applikationen auf Binary-Ebene durch, inklusive der Signatur jedes Pakets. Diese Daten werden mit der bereits erwähnten CVE-Datenbank abgeglichen. Dieses Verfahren verringert die Zahl der Fehlalarme ("False Positives"). Der Scanner unterstützt neben den gängigen Linux-Distributionen auch Windows Server und diverse Binaries.

    Verfügbarkeit und Preis

    Zunächst steht Security Scanning als Ergänzung für Nutzer privater Repositories in der Docker Cloud zur Verfügung. Andere Verzeichnisse, etwa auf Systemen im Firmenrechen­zentrum, lassen sich nicht überprüfen. Ab dem dritten Quartal 2016 sollen alle Nutzer von Docker Cloud den Service hinzu buchen können.

    Bis zum 1. August 2016 ist der Service kostenlos. Danach verlangt Docker laut dem Blog-Beitrag 7 Dollar monatlich für fünf private Repositories in der Docker Cloud. In der Pressemitteilung ist "ab 2 Dollar pro Repository" die Rede.

    Keine Kommentare