概要
過去に同じようなツールでtrivyの使い方を紹介しました
今回はdockleの使い方を紹介します
環境
- macOS 13.5.2
- docker 24.0.6
- dockle 0.4.3
インストール
- brew install goodwithtech/r/dockle
使い方
イメージ名を指定するだけです
- dockle kakakikikeke/request-dumper
あとは以下のように警告やらが出てきます
WARN - CIS-DI-0001: Create a user for the container
* Last user should not be root
WARN - DKL-DI-0006: Avoid latest tag
* Avoid 'latest' tag
INFO - CIS-DI-0005: Enable Content trust for Docker
* export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
* not found HEALTHCHECK statement
INFO - CIS-DI-0008: Confirm safety of setuid/setgid files
* setuid file: urwxr-xr-x usr/bin/chsh
* setuid file: urwxr-xr-x usr/bin/gpasswd
* setuid file: urwxr-xr-x usr/bin/passwd
* setgid file: grwxr-xr-x sbin/unix_chkpwd
* setuid file: urwxr-xr-x bin/su
* setuid file: urwxr-xr-x bin/mount
* setuid file: urwxr-xr-x usr/bin/chfn
* setgid file: grwxr-xr-x usr/bin/expiry
* setuid file: urwxr-xr-x usr/bin/newgrp
* setgid file: grwxr-xr-x usr/bin/chage
* setuid file: urwxr-xr-x usr/lib/openssh/ssh-keysign
* setgid file: grwxr-xr-x usr/bin/ssh-agent
* setuid file: urwxr-xr-x bin/umount
* setgid file: grwxr-xr-x usr/bin/wall
INFO - DKL-LI-0003: Only put necessary files
* Suspicious directory : usr/local/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.vscode
最後に
trivy と dockle の違いは主に脆弱性の参照先にあるようです
trivy は CVE などを検知してくれますが dockle は Dockerfile の記述がセキュリティ的に問題ないかという点で検知してくれます
どちらも簡単に導入できるので両方やってもいいのかもしれません
0 件のコメント:
コメントを投稿