🎟️ GH 문제가 있는 Docker 이미지 보안 스캔 자동화

☝️ 컨텍스트

Docker 이미지 보안은 계속해서 증가하는 추세입니다. 그러나 추세 이상으로 이미지 보안에 대한 적절한 파이프라인을 달성하지 못하면 재앙을 초래할 수 있습니다.

이를 달성하기 위해 다음 전략을 채택했습니다.

고도로 안전하게 유지 관리되는 이미지 사용

종속성 관리에 주의하기

종속성 관리는 DependaBot 덕분에 관리되며 거의 "즉시 사용 가능"합니다.

도커 이미지의 경우 더 많은 작업이 있습니다.

👉 이 짧은 게시물에서는 리포지토리 중심 및 CI 기반의 효율적인 접근 방식을 어떻게 구현했는지 확인할 수 있습니다.

📝 구현

도커 이미지 스캔의 경우 Container Scan (GitHub Action)에서 유지 관리하는 Anchore을 사용합니다.

Then we wrapped some CI around it so we can monitor security as part of our daily activities.

⏰ 스캔 예약

먼저 예약된 스캔이 있습니다. 코드 아래에서 latest 태그를 스캔합니다.

name: 🛡️ Scan Docker image latest 🐳

on:
  schedule: ## Schedule the job to run at a particular time.
    - cron:  '0 1 * * 1' ## every monday at 1:00AM

💥 심각도 컷오프 사용

다음으로 중요한 취약점이 발견된 경우 예약된 작업이 실패해야 합니다.



아래severity-cutoff 구현 찾기:

jobs:
  scan:
    name: 🛡️ Scan image latest
    runs-on: ubuntu-latest
    steps:
      - uses: anchore/scan-action@v3
        id: scan
        with:
         image: optnc/domaine-nc-api:latest
         fail-build: true
         severity-cutoff: critical

🎫 문제 생성(또는 업데이트)

다음으로 스캔 작업 실패 시 문제를 생성하려고 합니다(critical 보안 문제가 발견되었음을 의미).

우리가 원하는 것은 적절하게 태그가 지정된 문제를 가져와 일상 업무의 일부로 관리하고 보고서를 생성할 수 있도록 하는 것입니다.

따라서 우리는:

일부labels를 설정합니다(따라서 필터링이 더 쉬워집니다), 예: security , docker-scan'

매일 동일한 문제를 대상으로 하는 수많은 문제를 가져오는 대신 문제가 업데이트되도록 이러한 특정 레이블과 일치하는 최근에 열린 문제에 대한 참조를 가져옵니다.

모든 요소를 ​​한 곳에서 사용할 수 있도록 스캔 보고서를 받아 문제에 넣습니다.

아래 코드를 찾으십시오.

 - name: Create/Update an issue of vulnerabilities 🛡️ that have been detected
        if: ${{ failure() }}
        uses: actions/github-script@v6
        with:
          debug: true
          script: |
            const { owner, repo } = context.repo;
            const labels = ['security', 'docker-scan', 'Alert : Docker image scan'];

            // récupération de l'id de la dernière issue (si existante)
            const existingIssue = (await github.paginate(github.rest.issues.listForRepo.endpoint.merge({
              owner, repo, state: 'open',labels
            }))).filter(i => i.title.indexOf('Docker image security scan') !== -1)[0];

            // création ou modification de l'issue
            const body = `Workflow failed for commit ${{github.sha}}.        

            Following vulnerabilities have been detected :
            \`\`\`
            ${{ steps.scan_report.outputs.report }}
            \`\`\`
                `;

            if (existingIssue) {
              github.rest.issues.update({ owner, repo, issue_number: existingIssue.number, body });
            } else {
              github.rest.issues.create({
                owner, repo,
                title : '🛡️ Docker image security scan failed 🛡️',
                body,
                labels
              });
            }

👮 깨끗한 문제를 즐기십시오

그런 다음 CI에서 매우 유용한 문제를 얻을 수 있도록 설정되었습니다.

🎀 보너스

문제가 커밋과 관련되어 있다는 사실에 주의를 기울이십시오. 이는 보안 결함이 도입된 방식을 추적하는 데 정말 유용합니다.

🔖 리소스

Anchore Container Scan on GitHub marketplace

Anchore Container Scan sourcecode on GitHub

📊 anchore/grype를 사용하여 Java-8 도커 이미지 벤치(및 선택)

opt-nc에 대한 adriens ・ 4월 25일 ・ 4분 읽기

#docker #security #devsecops #infosec