قبل از شروع ، بیایید بفهمیم Docker Scout دقیقاً چیست؟ Docker Scout یک ابزار اسکن تصویر کانتینر است که در دسک تاپ Docker ساخته شده است و همچنین CLI با ذهنیت رویکرد چپ تغییر می کند. این در بالای اکوسیستم Docker قرار دارد و به توسعه دهندگان کمک می کند تا در زمان ساخت تصویر ، آسیب پذیری های تصویر کانتینر را پیدا کنند ، بنابراین به شما کمک می کند. سازمان برای حمل و نقل کل زنجیره تأمین. اکنون ممکن است اشتباه شود آیا این Docker-Scout یکی دیگر از ابزارهای CNAPP است؟ طبق اسناد رسمی ، از SBOM (لایحه نرم افزار مواد) با 17+ پایگاه داده مشاوره برای تجزیه و تحلیل و اسکن تصاویر با به روزرسانی های CVE در زمان واقعی استفاده می کند.
حال بیایید ببینیم که چگونه می توانیم با رجیستری کانتینر لاجورد برای اسکن تصویر زمان واقعی ادغام شویم.
ACR+Dockerscout در زمان نوشتن این وبلاگ در مرحله دسترسی اولیه است
پیش نیازهای مادون قرمز:
- اشتراک لاجورد فعال
- گروه منابع (اطمینان حاصل کنید که منطقه گروه منابع باید با منطقه ACR مطابقت داشته باشد و ادغام منطقه ACR برای همه منطقه در دسترس نیست ، بنابراین به اسناد رسمی مراجعه کنید)
- ACR (رجیستری کانتینر لاجورد)
- شبکه رویداد با موضوع سیستم مستقر شده است
- فضای نام هاب رویداد
- در داخل ACR ، توکن را از تیغه مجوز مخزن فعال کنید
- حساب Docker Hub ، اگر یکی جدید ایجاد نکنید
- Docker Scout با حساب Docker Hub وارد سیستم شد
- در صورت استفاده از لپ تاپ CLI ، داکر محلی نصب شده است
1.Azure Container Registry (پورتال لاجورد)
به پورتال لاجورد بروید و برای رجیستری کانتینر جستجو کنید و یکی از آنها را ایجاد کنید. فقط برای آزمایش ، من به همه شبکه های عمومی دسترسی به رجیستری از شبکه های شبکه اجازه داده ام ، اما در تولید از N/W خصوصی استفاده کنید
- پس از ایجاد ACR موفق ، سرور ورود به سیستم منحصر به فرد دریافت خواهید کرد
- اکنون یک نشانه رجیستری از تیغه مجوز مخزن ایجاد کنید ، این نشانه در طول پیکربندی پیشاهنگی Docker مورد نیاز است. اگر از الگوی بازوی تهیه شده توسط Docker برای استقرار ACR استفاده می کنید ، می توانید از این مرحله پرش کنید
-
اکنون با استفاده از دستور Docker Pull یا در غیر این صورت احساس راحتی کنید تا از تصویر سفارشی خود استفاده کنید.
-
docker pull bkimminich/juice-shop -
اکنون این تصویر را به صورت محلی اجرا کنید
docker run --rm -p 3000:3000 -d bkimminich/juice-shop -
خواهید دید که برنامه فروشگاه آب میوه OWASP می تواند از طریق بندر 3000 قابل دسترسی باشد. این برنامه آسیب پذیر است که توسط OWASP برای آزمایش قلم ارائه شده است
- اکنون این تصویر را برچسب گذاری کرده و با استفاده از دستور زیر آن را به ACR فشار دهید
docker tag bkimminich/juice-shop dockerscoutshubhendu.azurecr.io/owasp:v1
- Loginserver من را با خود جایگزین کنید.
آن را به ACR فشار دهید
docker push dockerscoutshubhendu.azurecr.io/owasp:v1
-
-
از مخازن پورتال لاجورد تأیید کنید
- حال بیایید ACR را با Scout برای اسکن آسیب پذیری ادغام کنیم
ادغام پیشاهنگی Docker
به Dashboard Docker Scout Dashboard مراجعه کرده و با حساب Docker وارد شوید و گزینه Azure Container Registry را انتخاب کنید
اکنون نام رجیستری را وارد کنید ، که چیزی جز سرور ورود به سیستم شما از ACR نیست ، Paste Same را کپی کنید
پس از آن ، شما الگوی بازو را برای استقرار دریافت خواهید کرد ، اساساً این الگوی بازو یک موضوع سیستم شبکه رویداد را از رویدادهای خدمات لاجورد و نشانه های رجیستری مستقر می کند.
اطمینان حاصل کنید که منابع پیشاهنگی Docker را به همان گروه منابع به عنوان رجیستری مستقر کنید. بررسی کنید و ایجاد کنید. پس از استقرار موفقیت آمیز ، از تیغه مجوز مخزن خود به نشانه های ACR ->> بروید و رمزگذاری را کپی کنید ، سپس رمز عبور ایجاد کنید. می توانید تاریخ انقضا رمز عبور را نیز تنظیم کنید. اما به یاد داشته باشید که رمز عبور را به صورت محلی کپی و ذخیره کنید ، پس از نزدیک شدن پنجره ، همان رمز عبور قابل بازیابی نیست. شما باید بازسازی کنید.
همان نشانه/رمزعبور را در تیغه ثبت نام Docker Scout Registry Token کپی کرده و بر روی Enable Integration کلیک کنید
پس از 5 دقیقه ، وضعیت در Docker Scout به Connected تغییر می کند
اکنون برای شروع اسکن ، تصویر را انتخاب کرده و تجزیه و تحلیل اسکن را فعال کنید
پرش از Blade Image ، تصویر ACR ما با لیست آسیب پذیری ها اسکن شده است.
برای کاهش آسیب پذیری ها ، به پچ پچ پرش کرده و پچ منتشر شده توسط فروشنده خاص را دنبال کنید.
ما می توانیم تمام جزئیات متمرکز را از Blade Overview نیز بررسی کنیم.
