HawkScan Docker镜像文档

镜像概述与主要用途

HawkScan 是 StackHawk 提供的动态应用漏洞扫描工具，通过 Docker 镜像形式分发。其核心用途是对 Web 应用进行动态安全扫描，覆盖从开发阶段到生产环境的全流程，帮助团队在应用部署前发现并修复安全漏洞，实现“安全集成测试”。

核心功能与特性

动态应用扫描

• 主动检测 Web 应用中的安全漏洞，支持在开发阶段快速发现问题，避免漏洞进入生产环境。
• 定位安全缺陷后提供修复建议，可作为“安全集成测试”环节融入开发流程。

面向现代开发团队的自动化能力

• 支持通过 Docker 命令行手动触发或自动化扫描流程，适配 DevOps 工作流。
• 通过 stackhawk.yml 配置文件管理扫描策略，支持版本控制与团队协作。
• 可集成至 CI/CD 管道，作为构建阶段的一环自动执行安全扫描。

全周期漏洞管理

• 生成合规性文档，满足审计与合规需求。
• 支持与现有工单工具（如 Jira）集成，实现漏洞修复的跟踪与优先级管理。
• 替代传统的“时间点评估”，提供持续化的漏洞监测与管理能力。

使用场景与适用范围

开发阶段安全验证

开发人员在本地或开发环境手动运行扫描，验证代码变更引入的安全风险。

CI/CD 流程集成

作为自动化构建流程的一部分，在应用打包或部署前自动执行扫描，阻止存在高危漏洞的版本发布。

合规性审计与报告

生成标准化漏洞报告，满足行业合规要求（如 GDPR、PCI-DSS 等）。

漏洞优先级与修复管理

结合业务影响评估漏洞优先级，通过工单工具分配修复任务，跟踪解决进度。

使用方法与配置说明

前提条件

• 已安装 Docker 环境。
• 项目根目录下存在 stackhawk.yml 配置文件（配置指南见 官方文档）。

配置文件 stackhawk.yml

stackhawk.yml 是扫描的核心配置文件，用于定义扫描目标、策略、集成等参数。示例配置（详细选项需参考官方文档）：

app:
  applicationId: ${HAWK_APPLICATION_ID}  # 应用唯一标识（从 StackHawk 控制台获取）
  env: development  # 环境标识（如 development/production）
  host: http://localhost:3000  # 扫描目标应用 URL
  startPath: /  # 扫描起始路径
  authentication:
    type: NONE  # 认证方式（如 NONE/API_KEY/FORM 等）
scan:
  policy: default  # 扫描策略（默认或自定义）
  depth: 5  # 扫描深度

Docker 命令行运行

在项目根目录执行以下命令启动扫描：

docker run --rm -v $(pwd):/hawk:rw -it stackhawk/hawkscan

参数说明：

• --rm：扫描完成后自动清理容器。
• -v $(pwd):/hawk:rw：将当前目录（含 stackhawk.yml）挂载到容器内 /hawk 目录，确保配置文件可被读取。
• -it：以交互模式运行，支持实时查看扫描日志。

Docker Compose 配置示例

创建 docker-compose.yml 简化扫描流程：

version: '3'
services:
  hawkscan:
    image: stackhawk/hawkscan
    volumes:
      - ./:/hawk:rw  # 挂载项目目录至容器
    tty: true  # 启用交互终端
    stdin_open: true  # 保持标准输入打开

运行命令：

docker-compose run hawkscan

配置参数与环境变量

• 核心配置参数：通过 stackhawk.yml 设置，包括应用 URL、认证信息、扫描策略、集成配置等，完整参数列表见 官方配置文档。
• 环境变量：支持通过环境变量注入敏感信息（如 HAWK_APPLICATION_ID），避免配置文件硬编码密钥。

官方文档与资源

完整使用指南与配置说明请参考 StackHawk 官方文档。

法律信息

使用前请阅读 StackHawk 服务条款。