lacework/codesec Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
lacework/codeseclacework
Lacework CodeSecurity工具集(含IAC、SAST、SCA)的基础镜像仓库,用于支持相关安全工具的运行环境。
1 次收藏下载次数: 0状态:社区镜像维护者:lacework仓库类型:镜像最近更新:13 天前
Lacework CodeSecurity 基础镜像
1. 镜像概述和主要用途
Lacework CodeSecurity 基础镜像是 Lacework 提供的容器化基础环境,专为集成代码安全工具包而设计。该镜像作为基础设施即代码(IAC)、静态应用安全测试(SAST)和软件成分分析(SCA)等安全扫描工具的运行环境,提供了一致、可移植的代码安全分析平台,支持在 CI/CD 流水线中无缝集成安全扫描能力。
2. 核心功能和特性
- 多工具集成:内置支持 IAC、SAST 和 SCA 多种安全扫描工具
- 环境一致性:提供标准化的运行环境,确保扫描结果的一致性和可重复性
- 轻量级设计:优化的镜像大小,减少 CI/CD 流水线的构建和部署时间
- 灵活配置:支持多种配置方式,适应不同的使用场景和需求
- CI/CD 集成:专为与主流 CI/CD 工具集成而设计,简化安全扫描流程
- 自动化更新:定期更新安全规则和漏洞数据库,确保扫描能力与时俱进
3. 使用场景和适用范围
- CI/CD 流水线集成:在代码提交、构建或部署阶段自动执行安全扫描
- 开发环境集成:为开发人员提供本地安全扫描能力,实现"左移安全"
- 代码审查流程:作为代码审查的一部分,自动检查安全问题
- 合规性检查:帮助组织满足行业合规性要求,如PCI-DSS、HIPAA等
- 安全审计:定期对代码库进行安全审计,识别潜在安全风险
- 多语言支持:支持多种编程语言和框架的安全扫描
4. 详细使用方法和配置说明
4.1 前置要求
- Docker 19.03 或更高版本
- Lacework 账户和 API 密钥
- 网络连接(用于更新安全规则和漏洞数据库)
4.2 环境变量配置
| 环境变量 | 描述 | 必需 | 默认值 |
|---|---|---|---|
LW_ACCOUNT_NAME | Lacework 账户名称 | 是 | 无 |
LW_ACCESS_TOKEN | Lacework API 访问令牌 | 是 | 无 |
LW_API_KEY | Lacework API 密钥 | 是 | 无 |
SCAN_TYPE | 扫描类型,可选值:iac、sast、sca 或 all | 否 | all |
OUTPUT_FORMAT | 输出格式,可选值:json、xml、text | 否 | json |
SEVERITY_THRESHOLD | 严重级别阈值,可选值:critical、high、medium、low | 否 | medium |
FAIL_ON_VULNERABILITY | 发现漏洞时是否失败,可选值:true、false | 否 | true |
4.3 Docker Run 命令示例
基本用法
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -v $(pwd):/code \ lacework/code-security-base \ scan /code
指定扫描类型
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -e SCAN_TYPE=sast \ -v $(pwd):/code \ lacework/code-security-base \ scan /code
自定义输出格式和严重级别
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -e OUTPUT_FORMAT=text \ -e SEVERITY_THRESHOLD=high \ -v $(pwd):/code \ lacework/code-security-base \ scan /code
4.4 Docker Compose 配置示例
yamlversion: '3.8' services: code-security-scan: image: lacework/code-security-base environment: - LW_ACCOUNT_NAME=<your-account-name> - LW_ACCESS_TOKEN=<your-access-token> - LW_API_KEY=<your-api-key> - SCAN_TYPE=all - OUTPUT_FORMAT=json - SEVERITY_THRESHOLD=medium volumes: - ./:/code - scan-results:/results command: scan /code --output /results/scan-report.json volumes: scan-results:
4.5 与 CI/CD 流水线集成
GitHub Actions 示例
yamlname: Code Security Scan on: [push, pull_request] jobs: security-scan: runs-on: ubuntu-latest steps: - name: Checkout code uses: actions/checkout@v3 - name: Run Lacework CodeSecurity scan uses: docker://lacework/code-security-base env: LW_ACCOUNT_NAME: ${{ secrets.LW_ACCOUNT_NAME }} LW_ACCESS_TOKEN: ${{ secrets.LW_ACCESS_TOKEN }} LW_API_KEY: ${{ secrets.LW_API_KEY }} SCAN_TYPE: all with: args: scan . --output scan-results.json - name: Upload scan results uses: actions/upload-artifact@v3 with: name: scan-results path: scan-results.json
5. 高级配置
5.1 配置文件挂载
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -v $(pwd):/code \ -v $(pwd)/lacework-config:/etc/lacework \ lacework/code-security-base \ scan /code --config /etc/lacework/config.yaml
5.2 忽略特定漏洞或路径
创建 .laceworkignore 文件:
# 忽略特定CVE CVE-2023-1234 CVE-2023-5678 # 忽略特定路径 /node_modules/** /vendor/** /test/**
挂载忽略文件:
bashdocker run --rm \ -e LW_ACCOUNT_NAME=<your-account-name> \ -e LW_ACCESS_TOKEN=<your-access-token> \ -e LW_API_KEY=<your-api-key> \ -v $(pwd):/code \ -v $(pwd)/.laceworkignore:/etc/lacework/.laceworkignore \ lacework/code-security-base \ scan /code
6. 命令参考
| 命令 | 描述 | 参数 |
|---|---|---|
scan | 执行安全扫描 | <directory> - 要扫描的目录路径 |
update | 更新安全规则和漏洞数据库 | 无 |
version | 显示工具版本信息 | 无 |
help | 显示帮助信息 | [command] - 可选命令名称 |
7. 故障排除
- 认证失败:检查 Lacework 账户名称、访问令牌和 API 密钥是否正确
- 扫描超时:对于大型项目,可通过
-e SCAN_TIMEOUT=300(秒) 增加超时时间 - 资源不足:增加容器内存限制,使用
--memory=4g参数 - 扫描结果为空:检查扫描目录是否正确挂载,确保代码文件存在
- 工具冲突:避免在同一容器中运行多个安全扫描工具,可能导致资源竞争
8. 维护和更新
- 定期拉取最新镜像:
docker pull lacework/code-security-base - 使用特定版本标签固定版本:
lacework/code-security-base:1.2.3 - 定期执行
update命令更新安全规则:docker run --rm lacework/code-security-base update
lacework/datacollector
lacework
Lacework是面向AWS、Azure、GCP及其他公有和私有云的云安全解决方案。
23 次收藏10亿+ 次下载
12 天前更新
lacework/lacework-cli
lacework
Lacework CLI工具用于管理Lacework云安全平台。
1 次收藏50万+ 次下载
30 天前更新
lacework/lacework-inline-scanner
lacework
暂无描述
100万+ 次下载
3 个月前更新
lacework/test-latest-dockerhub-tag
lacework
用于测试Docker Hub平台上最新标签功能及相关流程的测试镜像。
500万+ 次下载
12 天前更新
lacework/codesec-iac
lacework
Lacework CodeSecurity IAC工具包的基础镜像仓库,用于支持基础设施即代码的安全扫描与合规检查。
10万+ 次下载
23 天前更新
lacework/k8scollector
lacework
暂无描述
1 次收藏100万+ 次下载
12 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"