Up4Soft18 окт 2025 в 06:16

Как сканировать Docker-образы на уязвимости

Средний

3 мин

8.2K

DevOps * Developer Relations * Kubernetes * Микросервисы * Настройка Linux *

Из песочницы

Комментарии 5

avmcoder 18 окт 2025 в 12:39

А есть сканеры, ищущие уязвимости в контейнерах, сертифицированные ФСТЭК?

Shaman_RSHU 18 окт 2025 в 12:55

Code Scoring покрывает все потребности. Бесплатного для ФСТЭК естественно не будет :)

А trivy, как и grype очень сильно фолзят - нужно много времени на ручной разбор.

SignFinder 18 окт 2025 в 20:12

Не уверен насчет ФСТЭК, но у Касперского есть продукт container security.

SignFinder 18 окт 2025 в 20:10

# Было (опасно!)FROM python:3.9
# Стало (безопаснее)FROM python:3.9.18-bookworm # или alpine:3.19"

Это как? Почему стало безопаснее, если в теге 3.9 всегда будет последняя версия из 3.9, на текущий момент 3.9.24 на базе Debian 13.

Да, минус то, что можно нарваться на атаку цепочки поставок и получить свежий скомпроментированный образ, но с другой стороны - всегда свежий с текущими исправлениями безопасности.

GamePad64 18 окт 2025 в 20:54

При переборке если не сделать pull, то подтянется старая закешированная версия образа

Зарегистрируйтесь на Хабре, чтобы оставить комментарий