deepfenceio/deepfence_secret_scanner Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
deepfenceio/deepfence_secret_scannerdeepfenceio
Deepfence SecretScanner是一款用于扫描容器镜像或文件系统中潜在敏感信息(如密码、API密钥、令牌等)的工具,能输出包含发现的密钥详情的JSON文件,帮助减少因密钥泄露导致的安全风险。
1 次收藏下载次数: 0状态:社区镜像维护者:deepfenceio仓库类型:镜像最近更新:1 年前
SecretScanner
。它能帮助用户检测因开发周期中的疏忽或不当安全策略导致的密钥泄露问题,并输出包含所有发现密钥详情的 JSON 文件,从而降低组织基础设施的安全风险。
什么是密钥?
密钥是任何类型的敏感或私有数据,授权用户可通过其访问组织的关键 IT 基础设施(如账户、设备、网络、云服务)、应用程序、存储、数据库及其他关键数据。例如,密码、AWS 访问 ID、AWS 密钥、Google OAuth 密钥等均属于密钥。密钥应严格保密,但由于安全策略缺陷或开发人员的疏忽,***者可能轻易获取密钥。开发人员有时会在容器镜像中使用默认密钥或硬编码密钥(如密码、API 密钥、加密密钥、SSH 密钥、令牌等),尤其是在 CI/CD 流水线的快速开发和部署周期中。此外,用户有时会以明文形式存储密码。密钥泄露给未授权实体可能给组织和基础设施带来严重安全风险。
核心功能和特性
- 多目标扫描:支持扫描容器镜像和本地文件系统目录
- 灵活配置:可通过配置文件自定义扫描规则和参数
- 详细输出:生成包含密钥详情的 JSON 文件,便于分析和处理
- 性能优化:支持多线程扫描,可配置最大文件大小、最大密钥数量等参数
- 多模式运行:可作为独立工具运行或作为 gRPC 服务器提供服务
命令行选项
$ ./SecretScanner --help Usage of ./SecretScanner: -config-path string 从指定目录搜索config.yaml配置文件。若未设置,将尝试从SecretScanner二进制文件目录和当前目录查找 -debug-level string 调试级别包括FATAL、ERROR、IMPORTANT、WARN、INFO、DEBUG。仅显示高于指定级别的日志(默认"ERROR") -image-name string 要扫描密钥的镜像名称(含标签) -json-filename string 输出JSON文件名。若未设置,将根据镜像或目录名称自动生成 -local string 指定要扫描的本地目录(绝对路径),递归扫描该目录 -max-multi-match uint 单个文件中同一模式的最大匹配次数。仅在启用multi-match选项时生效(默认3) -max-secrets uint 单个容器镜像或文件系统中最多可发现的密钥数量(默认1000) -maximum-file-size uint 要处理的最大文件大小(KB)(默认256) -multi-match 输出单个文件中同一模式的多个匹配项。默认仅输出一个匹配项以提高性能 -output-path string JSON文件的输出目录。若未设置,将输出到当前目录 -temp-directory string 用于处理和存储仓库/匹配结果的目录(默认"/tmp") -threads int 并发线程数(默认逻辑CPU数量) -socket-path string gRPC服务器套接字路径
使用场景和适用范围
- CI/CD 流水线:在构建和部署阶段扫描容器镜像,防止密钥随镜像发布
- 本地开发环境:扫描项目目录,检测硬编码密钥
- 服务器安全审计:定期扫描文件系统,排查敏感信息泄露
- 容器安全检查:对已部署或待部署的容器镜像进行密钥检测
使用方法和配置说明
使用Docker快速尝试
安装Docker后,可通过以下步骤使用SecretScanner扫描容器镜像:
构建SecretScanner镜像
shell./bootstrap.sh docker build --rm=true --tag=deepfenceio/deepfence_secret_scanner:latest -f Dockerfile .
或从Docker Hub拉取最新镜像
shelldocker pull deepfenceio/deepfence_secret_scanner:latest
拉取待扫描的容器镜像
shelldocker pull node:8.11
作为独立工具运行
-
扫描容器镜像:
shelldocker run -it --rm --name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock -v /run/containerd/containerd.sock:/run/containerd/containerd.sock deepfenceio/deepfence_secret_scanner:latest -image-name node:8.11 -
扫描本地目录:
shelldocker run -it --rm --name=deepfence-secretscanner -v /:/deepfence/mnt -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock -v /run/containerd/containerd.sock:/run/containerd/containerd.sock deepfenceio/deepfence_secret_scanner:latest -host-mount-path /deepfence/mnt -local /deepfence/mnt
作为gRPC服务器运行
shelldocker run -it --rm --name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock -v /run/containerd/containerd.sock:/run/containerd/containerd.sock -v /tmp/sock:/tmp/sock deepfenceio/deepfence_secret_scanner:latest -socket-path /tmp/sock/s.sock
-
扫描容器镜像:
shellgrpcurl -plaintext -import-path ./agent-plugins-grpc/proto -proto secret_scanner.proto -d '{"image": {"name": "node:8.11"}}' -unix '/tmp/sock/s.sock' secret_scanner.SecretScanner/FindSecretInfo -
扫描本地目录:
shellgrpcurl -plaintext -import-path ./agent-plugins-grpc/proto -proto secret_scanner.proto -d '{"path": "/tmp"}' -unix '/tmp/sock/s.sock' secret_scanner.SecretScanner/FindSecretInfo
默认情况下,SecretScanner会在当前工作目录生成包含密钥详情的JSON文件。可通过相应选项显式指定输出目录和JSON文件名。注意,上述命令中也可使用nerdctl替代docker。
构建说明
- 运行bootstrap.sh
- 安装Docker
- 安装Hyperscan
- 安装对应平台的Go(版本1.14)
- 安装必要的Go模块:
gohs、yaml.v3和color - 执行
go get github.com/deepfence/SecretScanner会自动下载并在$GOPATH/bin或$HOME/go/bin目录构建SecretScanner;或克隆仓库后运行go build -v -i在当前目录生成可执行文件 - 根据需要编辑config.yaml文件,并使用适当的配置文件目录运行SecretScanner
有关在Ubuntu系统上构建的参考命令,可查看Install文件。
在本地主机上运行
作为独立应用
shell./SecretScanner --help ./SecretScanner -config-path /path/to/config.yaml/dir -local test ./SecretScanner -config-path /path/to/config.yaml/dir -image-name node:8.11
作为服务器应用
shell./SecretScanner -socket-path /path/to/socket.sock
发送请求的方法参见上文“使用Docker快速尝试”部分。
致谢
本工具基于shhgit项目的配置文件构建。
免责声明
本工具不得用于黑客行为。请仅将其用于合法目的,如检测您拥有的基础设施上的密钥,而非他人的基础设施。对于因SecretScanner在任何用途中的不足或缺陷直接或间接导致的利润损失、业务损失、其他经济损失或任何其他损失或损害,DEEPFENCE不承担责任。
docker/buildkit-syft-scanner
Docker 官方工具与组件镜像
这是基于Syft扫描器的BuildKit SBOM生成器镜像,用于在Docker构建输出中包含扫描结果,实现了BuildKit SBOM扫描协议。
1000万+ 次下载
5 天前更新
lacework/dspm-scanner
lacework
暂无描述
1万+ 次下载
6 天前更新
lacework/lacework-inline-scanner
lacework
暂无描述
100万+ 次下载
4 个月前更新
rancher/neuvector-scanner
rancher
暂无描述
50万+ 次下载
5 天前更新
artifacthub/scanner
artifacthub
暂无描述
10万+ 次下载
5 个月前更新
rancher/mirrored-neuvector-scanner
rancher
暂无描述
500万+ 次下载
4 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"