Sysdig Secure Inline Scan 镜像文档

概述

Sysdig Secure Inline Scan是一个轻量级容器镜像安全扫描工具，专为集成到CI/CD流程而设计。它能够在容器镜像构建过程中对其进行安全扫描，识别潜在的漏洞、配置错误和合规性问题，帮助开发和安全团队在软件部署前发现并解决安全隐患。

该工具不需要持久化服务或复杂的基础设施，可作为独立工具运行，非常适合在CI/CD管道中实现自动化安全扫描。

核心功能和特性

• 漏洞扫描：检测容器镜像中的已知安全漏洞
• 配置检查：验证容器配置是否符合安全最佳实践
• 合规性审计：检查镜像是否符合各种安全标准和策略
• 轻量级设计：无需持久化服务，即插即用
• 快速扫描：优化的扫描算法，适合CI/CD环境的时间约束
• 详细报告：提供清晰的扫描结果和修复建议
• 多平台支持：兼容主流容器 registry 和 CI/CD 平台

使用场景

• CI/CD 集成：在镜像构建完成后、推送前执行安全扫描
• 开发环境：开发人员本地验证镜像安全性
• 质量门禁：作为代码合并或部署前的安全检查点
• 安全审计：定期扫描现有镜像库中的镜像
• 合规检查：确保容器镜像符合组织安全策略和行业法规

安装和使用方法

前提条件

• Docker 引擎 (18.09 或更高版本)
• 网络连接（用于下载必要的扫描规则和漏洞数据库）
• Sysdig Secure API 密钥（可选，用于高级功能和完整报告）

基本使用

使用以下命令运行基本的镜像扫描：

docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  sysdiglabs/secure-inline-scan \
  scan --image <your-image-name>:<tag>

集成 Sysdig Secure (可选)

若要使用Sysdig Secure的高级功能和完整报告，需要提供API密钥：

docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -e SECURE_API_TOKEN=<your-api-token> \
  sysdiglabs/secure-inline-scan \
  scan --image <your-image-name>:<tag> --sysdig-secure

在CI/CD管道中使用

GitHub Actions示例

jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      
      - name: Build image
        run: docker build -t my-app:${{ github.sha }} .
      
      - name: Scan image
        run: |
          docker run --rm \
            -v /var/run/docker.sock:/var/run/docker.sock \
            -e SECURE_API_TOKEN=${{ secrets.SYSDIG_SECURE_API_TOKEN }} \
            sysdiglabs/secure-inline-scan \
            scan --image my-app:${{ github.sha }} --fail-on critical

配置选项

命令行参数

环境变量

扫描结果解释

扫描结果将包含以下信息：

• 漏洞摘要：按严重级别分类的漏洞数量统计
• 漏洞详情：每个漏洞的CVE编号、描述、严重级别和建议的修复方法
• 配置问题：不符合安全最佳实践的配置项
• 合规性检查：不符合安全标准和策略的项目

故障排除

常见问题

1. 扫描速度慢：确保您的网络连接正常，或使用--skip-pull选项跳过规则更新
2. 权限问题：确保Docker套接字挂载正确，容器有足够权限访问Docker引擎
3. 扫描失败：检查镜像名称是否正确，以及您是否有权访问该镜像
4. API密钥错误：验证您的Sysdig Secure API密钥是否有效且具有适当权限

获取支持

如需更多帮助，请访问项目GitHub仓库：[***]