/awesome-docker-security

📚 A curated list of awesome Docker security resources

Apache License 2.0Apache-2.0

awesome-docker-security(Docker 安全资源大全)

这里收集了关于 Docker 安全的优秀资源,包括书籍、博客、视频、工具以及案例。

书籍

博客

视频

工具

容器运行时

  • gVisor - 用 Go 编写的应用内核,实现在 Linux 系统上运行的大部分功能。
  • Kata Container - 一个开源项目,致力于构建轻量级虚拟机(VM),这些虚拟机的体验和性能像容器,但提供了类似 VM 的隔离和安全优势。
  • sysbox - 一个开源容器运行时,使 Docker 容器能够作为虚拟服务器运行 Systemd、Docker、Kubernetes 等软件。
  • Firecracker - 专为创建和管理安全多租户容器和基于函数的服务而开发的虚拟化技术。

容器扫描

  • trivy - 适用于 CI 的简单且全面的容器漏洞扫描工具。
  • Clair - 静态漏洞分析工具,发现容器中的 CVE,可集成到 CI,如 Gitlab CI。
  • Harbor - 开源的云原生注册表项目,具备 RESTful API、注册表、漏洞扫描和 RBAC 等功能。
  • Anchore Engine - 容器镜像检查、分析和认证的集中服务,支持 RESTful API 和 Anchore CLI。
  • grype - Anchore 的开源漏洞扫描工具,可对容器镜像和文件系统进行扫描。
  • Dagda - 静态分析工具,检测 Docker 镜像和容器中的已知漏洞、木马、病毒、恶意软件等威胁。
  • Synk - 用于发现和修复开源依赖中的已知漏洞,支持容器扫描和应用安全。

合规检查

  • Docker 安全基准 - 脚本,检查生产环境中部署 Docker 容器的多项最佳实践。
  • CIS Docker 基准 - InSpec profile - 以自动化方式实现 CIS Docker 1.13.0 基准,提供生产环境中的 Docker 守护进程和容器的安全最佳实践测试。
  • lynis - Linux、macOS、UNIX 系统的安全审计工具,协助合规测试和系统加固,免安装。
  • Open Policy Agent (OPA) - 开源通用策略引擎,用于整个技术栈的统一、上下文感知的策略执行。
  • opa-docker-authz - Docker 的策略授权插件。

渗透测试

  • BOtB - 容器分析与利用工具,适合渗透测试人员和 CI/CD 环境。
  • Gorsair - Docker API 渗透测试工具,用于发现和远程访问 Docker 容器。
  • Cloud Container Attack Tool - 测试容器环境安全的工具。
  • DEEPCE - Docker 枚举、权限提升和容器逃逸工具。

测试环境

监控

  • Falco - 云原生运行时安全工具。
  • Wazuh - 免费开源的企业级安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规。
  • Weave Scope - 自动检测进程、容器、主机,无需内核模块或代理,适用于 Docker、Kubernetes、AWS ECS 等环境。

其他工具

  • anchor - 确保 Dockerfile 中的依赖项可重复构建。
  • dive - 探索 Docker 镜像中每一层的工具。
  • hadolint - Dockerfile 代码规范检查工具,帮助构建最佳实践的 Docker 镜像。
  • dockle - 容器镜像的代码规范检查工具。
  • docker_auth - Docker 注册表的认证服务器。
  • bane - Docker 容器的自定义 AppArmor 配置生成器。
  • secret-diver - 分析容器中的敏感信息。
  • confine - 为 Docker 镜像生成 SECCOMP 配置文件。
  • imgcrypt - OCI 镜像加密包。
  • lazydocker - 简化 Docker 镜像和容器管理的工具。

案例