这里收集了关于 Docker 安全的优秀资源,包括书籍、博客、视频、工具以及案例。
- Docker 安全
- OWASP Docker 安全
- 容器安全简介:理解 Docker 的隔离特性
- 一次攻击分析:Docker 仓库
- 寻找不安全的 Docker 仓库
- 如何利用 Docker API 进行远程代码执行
- 在 CI 或测试环境中使用 Docker-in-Docker?请三思
- Docker 容器环境中的漏洞利用
- 缓解 RunC 高严重性漏洞 (CVE-2019-5736)
- 构建安全的 Docker 镜像 - 101
- 使用 OPA Rego 规则和 Conftest 进行 Dockerfile 安全检查
- 攻击者如何看待 Docker:解析多容器应用程序
- 第四课:像大佬一样入侵容器
- 如何通过 Containerd 加密来保护 Docker 镜像
- 构建安全 Docker 镜像的最佳实践
- OWASP Bay Area - 使用开源工具攻击和审计 Docker 容器
- DockerCon 2018 - Docker 容器安全
- DockerCon 2019 - Netflix 容器安全的理论与实践
- DockerCon 2019 - 使用 Rootless 模式加强 Docker 守护进程
- RSAConference 2019 - 我如何从经验中学习 Docker 安全(所以你不必经历)
- BSidesSF 2020 - 检查你的 --privileged 容器
- 实时容器攻击:夺旗比赛 - Andrew Martin (Control Plane) 对阵 Ben Hall (Katacoda)
- gVisor - 用 Go 编写的应用内核,实现在 Linux 系统上运行的大部分功能。
- Kata Container - 一个开源项目,致力于构建轻量级虚拟机(VM),这些虚拟机的体验和性能像容器,但提供了类似 VM 的隔离和安全优势。
- sysbox - 一个开源容器运行时,使 Docker 容器能够作为虚拟服务器运行 Systemd、Docker、Kubernetes 等软件。
- Firecracker - 专为创建和管理安全多租户容器和基于函数的服务而开发的虚拟化技术。
- trivy - 适用于 CI 的简单且全面的容器漏洞扫描工具。
- Clair - 静态漏洞分析工具,发现容器中的 CVE,可集成到 CI,如 Gitlab CI。
- Harbor - 开源的云原生注册表项目,具备 RESTful API、注册表、漏洞扫描和 RBAC 等功能。
- Anchore Engine - 容器镜像检查、分析和认证的集中服务,支持 RESTful API 和 Anchore CLI。
- grype - Anchore 的开源漏洞扫描工具,可对容器镜像和文件系统进行扫描。
- Dagda - 静态分析工具,检测 Docker 镜像和容器中的已知漏洞、木马、病毒、恶意软件等威胁。
- Synk - 用于发现和修复开源依赖中的已知漏洞,支持容器扫描和应用安全。
- Docker 安全基准 - 脚本,检查生产环境中部署 Docker 容器的多项最佳实践。
- CIS Docker 基准 - InSpec profile - 以自动化方式实现 CIS Docker 1.13.0 基准,提供生产环境中的 Docker 守护进程和容器的安全最佳实践测试。
- lynis - Linux、macOS、UNIX 系统的安全审计工具,协助合规测试和系统加固,免安装。
- Open Policy Agent (OPA) - 开源通用策略引擎,用于整个技术栈的统一、上下文感知的策略执行。
- opa-docker-authz - Docker 的策略授权插件。
- BOtB - 容器分析与利用工具,适合渗透测试人员和 CI/CD 环境。
- Gorsair - Docker API 渗透测试工具,用于发现和远程访问 Docker 容器。
- Cloud Container Attack Tool - 测试容器环境安全的工具。
- DEEPCE - Docker 枚举、权限提升和容器逃逸工具。
- DockerSecurityPlayground (DSP) - 基于微服务的框架,用于研究网络安全和渗透测试技术。
- Katacoda 课程:Docker 安全 - 通过交互式场景学习 Docker 安全。
- Control Plane 提供的 Docker 安全课程 - Control Plane 提供的 Docker 安全课程。
- Play with Docker - 学习 Docker 的简单、交互式、免费的在线环境。
- OWASP WrongSecrets - 漏洞应用程序,涵盖秘密管理中的不良做法,包括 Docker。
- Falco - 云原生运行时安全工具。
- Wazuh - 免费开源的企业级安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规。
- Weave Scope - 自动检测进程、容器、主机,无需内核模块或代理,适用于 Docker、Kubernetes、AWS ECS 等环境。
- anchor - 确保 Dockerfile 中的依赖项可重复构建。
- dive - 探索 Docker 镜像中每一层的工具。
- hadolint - Dockerfile 代码规范检查工具,帮助构建最佳实践的 Docker 镜像。
- dockle - 容器镜像的代码规范检查工具。
- docker_auth - Docker 注册表的认证服务器。
- bane - Docker 容器的自定义 AppArmor 配置生成器。
- secret-diver - 分析容器中的敏感信息。
- confine - 为 Docker 镜像生成 SECCOMP 配置文件。
- imgcrypt - OCI 镜像加密包。
- lazydocker - 简化 Docker 镜像和容器管理的工具。
- 如何破解 Play-with-Docker 并远程在主机上运行代码
- 黑客组织利用公开的 Docker API 接口劫持系统
- 数百个漏洞 Docker 主机被加密货币矿工利用
- 加密劫持蠕虫攻击了超过 2000 个 Docker 主机
- Docker API 漏洞让黑客挖取门罗币
- Docker 注册表 HTTP API v2 未加密暴露,导致镜像泄露与污染
- 如何通过请求拆分漏洞找到 Portainer 的 RCE 并黑进 Uber
- Docker 注册表暴露导致数百家企业面临恶意软件和数据盗窃风险
- Doki 后门入侵云中的 Docker 服务器
- 威胁者通过容器逃逸功能攻击 Docker
- CVE-2020-15157:Containerd 漏洞可能导致云凭据泄露