چگونه برنامه کانتینری خود را با استفاده از Anchore ایمن کردم (پروژه روز 29)

Summarize this content to 400 words in Persian Lang
این مقاله یک رویکرد جامع برای ایمن سازی برنامه های کانتینری با استفاده از Anchore را شرح می دهد.یک پلت فرم امنیتی کانتینر این پروژه یک گردش کار امنیتی قوی مناسب برای مبتدیان، کاربران متوسط ​​را نشان می دهد.و توسعه دهندگان با تجربه ما ساخت، آزمایش، اسکن، و استقرار یک برنامه کاربردی کانتینری را پوشش خواهیم داد و بر بهترین شیوه ها در سراسر آن تاکید می کنیم. در حالی که تمرکز Anchore است، این اصول برای سایر ابزارهای امنیتی کانتینر مانند Aqua Security، Snyk و Trivy اعمال می شود.

1. نمای کلی پروژه:

این پروژه اسکن امنیتی را در یک خط لوله CI/CD با استفاده از Anchore ادغام می کند تا اطمینان حاصل شود که فقط تصاویر کانتینر ایمن مستقر می شوند.این فرآیند شامل:

توسعه و آزمایش: کد برنامه را بنویسید، آزمایش کنید و اصلاح کنید.
کانتینرسازی: برنامه را در یک ظرف Docker بسته بندی کنید.
اسکن امنیتی: از Anchore برای اسکن آسیب پذیری ها استفاده کنید.
ساخت و هل دادن تصویر: تصویر Docker را بسازید و فقط در صورت انجام اسکن به یک رجیستری (مثلاً Docker Hub) فشار دهید.
استقرار: تصویر امن را در محیط هدف خود (به عنوان مثال، خوشه Kubernetes، minikube) مستقر کنید.

2. راه اندازی Anchore:

قبل از شروع، به یک نمونه Anchore Enterprise (یا یک آزمایش رایگان) نیاز دارید. Anchore CLI را نصب کرده و آن را پیکربندی کنید:

دانلود و نصب کنید: Anchore CLI را از وب سایت رسمی Anchore دانلود کنید. دستورالعمل های نصب بسته به سیستم عامل شما متفاوت است.
ایجاد حساب کاربری: اگر قبلاً ندارید یک حساب Anchore ایجاد کنید.
احراز هویت: CLI را برای احراز هویت با حساب Anchore خود پیکربندی کنید. این معمولاً شامل تنظیم یک کلید API یا استفاده از روش‌های دیگر احراز هویت است که در مستندات Anchore توضیح داده شده است.
(اختیاری) پیکربندی خط مشی: در رابط کاربری Anchore، می‌توانید خط‌مشی‌هایی را برای تعیین آستانه‌های آسیب‌پذیری تعریف کنید. این به شما امکان می دهد سطح شدتی را که در آن اسکن شکست می خورد، سفارشی کنید. به عنوان مثال، ممکن است سیاستی را تنظیم کنید که در صورت یافتن آسیب‌پذیری‌های بالا یا حیاتی، ساخت با شکست مواجه شود.

3. راه اندازی پروژه و ساختار پوشه:

دایرکتوری و فایل های پروژه را ایجاد کنید:

project-root/
├── Dockerfile
├── .github/
│ └── workflows/
│ └── ci.yml
├── src/
│ └── app.js
└── tests/
└── app.test.js

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

4. کد برنامه (src/app.js – Node.js):

یک برنامه ساده Node.js Express.js:

const express = require(‘express’);
const app = express();
const port = 3000;

app.get(‘/’, (req, res) => {
res.send(‘Hello from Day 28!’);
});

app.listen(port, () => {
console.log(`App listening on port ${port}`);
});

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

5. آزمایش (tests/app.test.js – هست):

استفاده از Jest برای تست / مسیر:

const request = require(‘supertest’);
const app = require(‘../src/app’);

describe(‘GET /’, () => {
it(‘should respond with Hello from Day 28!’, async () => {
const response = await request(app).get(‘/’);
expect(response.status).toBe(200);
expect(response.text).toBe(‘Hello from Day 28!’);
});
});

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

6. Dockerfile:

این تصویر Docker را می سازد:

FROM node:14-alpine
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
USER node
EXPOSE 3000
CMD [“node”, “app.js”]

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

7. خط لوله CI/CD با اقدامات GitHub (.github/workflows/ci.yml):

این گردش کار فرآیند ساخت، تست و اسکن را خودکار می کند:

name: CI/CD with Anchore Scan

on:
push:
branches:
– main

jobs:
build:
runs-on: ubuntu-latest
steps:
– uses: actions/checkout@v3
– name: Build Docker image
run: docker build -t myapp:latest .
– name: Run tests
run: npm test
– name: Add image to Anchore #Anchore CLI must be configured (see Section 2)
run: anchore-cli image add myapp:latest
– name: Wait for Anchore scan
run: anchore-cli image wait myapp:latest
– name: Check Anchore vulnerabilities
run: anchore-cli image vuln myapp:latest all | grep -v ‘OK’
if: ${{ steps.CheckAnchoreVulnerabilities.outcome != ‘success’ }}
– name: Push to Docker Hub (if successful) #Replace with your Docker Hub details
run: docker push docker.io/[YOUR_DOCKERHUB_USERNAME]/myapp:latest
if: ${{ steps.CheckAnchoreVulnerabilities.outcome == ‘success’ }}

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

به یاد داشته باشید: تعویض کنید [YOUR_DOCKERHUB_USERNAME] با نام کاربری Docker Hub شما. شما باید اعتبارنامه Anchore CLI خود را به عنوان یک راز GitHub Actions پیکربندی کنید (تحت تنظیمات مخزن خود).

8. استقرار (مثال Minikube):

پس از ساخت و اسکن موفق، با استفاده از یک deployment.yaml فایل:

apiVersion: apps/v1
kind: Deployment
metadata:
name: myapp-deployment
spec:
replicas: 3
selector:
matchLabels:
app: myapp
template:
metadata:
labels:
app: myapp
spec:
containers:
– name: myapp-container
image: docker.io/[YOUR_DOCKERHUB_USERNAME]/myapp:latest
ports:
– containerPort: 3000

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

9. عیب یابی:

مسائل Anchore CLI: مطمئن شوید که CLI به درستی نصب و پیکربندی شده است. اسناد Anchore را برای عیب یابی بررسی کنید.
خطاهای ساخت: Dockerfile و کد برنامه را برای خطاها به دقت بررسی کنید.
خطاهای استقرار: تایید کنید deployment.yaml فایل و پیکربندی Kubernetes.
یافته های آسیب پذیری: آسیب پذیری های گزارش شده توسط Anchore را با به روز رسانی وابستگی ها یا اعمال وصله ها برطرف کنید.

10. ابزارهای امنیتی جایگزین کانتینر:

در حالی که Anchore در اینجا استفاده می شود، ابزارهای دیگری مانند Aqua Security، Snyk و Trivy قابلیت های مشابهی را ارائه می دهند. این جایگزین ها را بر اساس نیازها و ترجیحات خود کاوش کنید.

11. نتیجه گیری:

این پروژه یک رویکرد ایمن برای توسعه برنامه های کاربردی کانتینری را نشان می دهد. ادغام Anchore در خط لوله CI/CD شما برای حفظ امنیت بسیار مهم است. به یاد داشته باشید که کد و تنظیمات را با نیازهای خاص خود تطبیق دهید و همیشه بهترین شیوه های امنیتی را در اولویت قرار دهید.

project-root/
├── Dockerfile
├── .github/
│   └── workflows/
│       └── ci.yml
├── src/
│   └── app.js
└── tests/
    └── app.test.js

const express = require('express');
const app = express();
const port = 3000;

app.get('/', (req, res) => {
  res.send('Hello from Day 28!');
});

app.listen(port, () => {
  console.log(`App listening on port ${port}`);
});

const request = require('supertest');
const app = require('../src/app');

describe('GET /', () => {
  it('should respond with Hello from Day 28!', async () => {
    const response = await request(app).get('/');
    expect(response.status).toBe(200);
    expect(response.text).toBe('Hello from Day 28!');
  });
});

FROM node:14-alpine
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
USER node
EXPOSE 3000
CMD ["node", "app.js"]

name: CI/CD with Anchore Scan

on:
  push:
    branches:
      - main

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: Build Docker image
        run: docker build -t myapp:latest .
      - name: Run tests
        run: npm test
      - name: Add image to Anchore #Anchore CLI must be configured (see Section 2)
        run: anchore-cli image add myapp:latest
      - name: Wait for Anchore scan
        run: anchore-cli image wait myapp:latest
      - name: Check Anchore vulnerabilities
        run: anchore-cli image vuln myapp:latest all | grep -v 'OK'
        if: ${{ steps.CheckAnchoreVulnerabilities.outcome != 'success' }}
      - name: Push to Docker Hub (if successful) #Replace with your Docker Hub details
        run: docker push docker.io/[YOUR_DOCKERHUB_USERNAME]/myapp:latest
        if: ${{ steps.CheckAnchoreVulnerabilities.outcome == 'success' }}

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp
  template:
    metadata:
      labels:
        app: myapp
    spec:
      containers:
      - name: myapp-container
        image: docker.io/[YOUR_DOCKERHUB_USERNAME]/myapp:latest
        ports:
        - containerPort: 3000