dockerセキュリティツールanchoreの使い方
概要
- dockerセキュリティツール
- inline版とそうでないものがあり、cliで完結できるinline版が便利
inline版の使い方
インストール
$ curl -s https://ci-tools.anchore.io/inline_scan-latest -o inline_scan && chmod +x inline_scan
imageのスキャン
$ inline_scan -r python:latest
python:latestがローカルにある前提anchore-reportsというディレクトリが生成され、レポートが出力される
レポートの内容
-vuln.json
- 脆弱性の報告
- どのパッケージが脆弱性があるか、どの程度のインパクトか、トラッカーのURL
-content-python.json
- pythonパッケージの報告
-content-os.json
- osのパッケージの報告(debianならばdpkg)
- ライセンスの種類も示してくれる(GPL,BSD,MITなど)
-content-files.json
- 含まれているファイルの一覧
- sha256が計算されているので、危ないファイルを特定することが容易になっている