Il y a plus de 5 ans (!!) je présentais Docker Bench Security, l’outil de Docker, pour scanner et informer/alerter sur la sécurité de son environnement.
Voici par exemple pour mon NUC1 : https://pastebin.com/dv6WjBaT
TL;DR : je lance mes Dockers en root et c’pas bien.
C’est bien mais ça ne fait pas tout. Et AMHA le plus important est de se préoccuper des Dockers eux-mêmes.
C’est là que Trivy prend tout son sens. On peut scanner les images (donc n’importe quelle image, pas juste les locales) pour obtenir un résumé des vulnérabilités présentes (ou non).
Exemple avec des images « pignon sur rue » de Radarr par LSIO et gluetun de qmcgaw (client VPN)
[email protected]:/home/aerya# trivy i linuxserver/radarr:nightly2022-06-08T16:37:34.833+0200 INFO Detected OS: alpine2022-06-08T16:37:34.833+0200 INFO Detecting Alpine vulnerabilities...2022-06-08T16:37:34.840+0200 INFO Number of language-specific files: 0linuxserver/radarr:nightly (alpine 3.15)Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)[email protected]:/home/aerya# [email protected]:/home/aerya# trivy i qmcgaw/gluetun:latest2022-06-08T16:06:55.861+0200 INFO Detected OS: alpine2022-06-08T16:06:55.861+0200 INFO This OS version is not on the EOL list: alpine 3.162022-06-08T16:06:55.861+0200 INFO Detecting Alpine vulnerabilities...2022-06-08T16:06:55.863+0200 INFO Number of language-specific files: 12022-06-08T16:06:55.863+0200 INFO Detecting gobinary vulnerabilities...qmcgaw/gluetun:latest (alpine 3.16.0)Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)gluetun-entrypoint (gobinary)Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)Et en revanche avec une image ancienne et non maintenue de vnStat de vergoh : https://pastebin.com/VNG0XbMd
Pour vnStat ça ne me dérange pas vu que ça ne fait qu’afficher des stats de trafic. Y’a pas grand chose à exploiter.
Pour l’image officielle de Plex ça passe : https://pastebin.com/xP9bsiSH
L’intérêt de Trivy est de jeter un oeil à une image avant de l’utiliser. Concernant les plus connues/utilisées on peut en général être confiant, pour certaines anciennes il faudra peut-être prendre le temps de se poser les bonnes questions :
– Y’a-t-il d’autres images ?
=> je les teste
– Est-ce qu’un dockerfile est publié ?
=> dans ce cas soit voir si le dockerfile récupère des versions à jour automatiquement où s’il faut les MàJ dans l’écriture
– Y’a rien d’autre ?
=> je me prends par la main et 1.abandonne mon idée 2.fais mon image 3.assume d’utiliser celle que j’ai trouvée