Add image security

2026-03-11 04:14:38 +00:00 · 2026-03-05 22:19:18 -08:00
parent 17517e26b7
commit 6f22d0f5f0
2 changed files with 561 additions and 0 deletions
--- a/18_security/18.6_image_security.md
+++ b/18_security/18.6_image_security.md
@@ -0,0 +1,558 @@
 ## 18.6 容器镜像安全扫描与供应链安全
 在 DevOps 流程中，容器镜像安全已经成为不容忽视的关键环节。从开发、构建、存储到部署，镜像的整个生命周期都需要安全防护。本节深入讨论镜像漏洞扫描、软件物料清单（SBOM）、镜像签名验证等供应链安全实践。
 ### 18.6.1 容器镜像漏洞扫描工具对比
 #### Trivy - 轻量级通用扫描器
 Trivy 是由 Aqua Security 开发的开源漏洞扫描器，以其轻量级、快速、准确而闻名，已成为业界标准。
 **优点：**
 - 零依赖，单个二进制文件
 - 扫描速度快（秒级）
 - 支持镜像、文件系统、Git 仓库多种扫描源
 - 数据库每日自动更新
 - 支持多种输出格式（JSON、表格、SBOM 等）
 **安装与基本使用：**
 ```bash
 # 安装 Trivy
 curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin
 # 扫描本地镜像
 trivy image nginx:latest
 # 生成 JSON 格式报告
 trivy image -f json -o report.json nginx:latest
 # 扫描文件系统
 trivy fs /path/to/project
 # 扫描 Git 仓库
 trivy repo https://github.com/aquasecurity/trivy
 ```
 **在 CI/CD 中集成：**
 ```bash
 # 设置严重程度过滤
 trivy image --severity HIGH,CRITICAL \
  --exit-code 1 \
  myregistry.com/myapp:v1.0.0
 ```
 #### Grype - 支持多种软件包的扫描器
 Grype 由 Anchore 开发，支持更广泛的软件包管理器和语言。
 **优点：**
 - 支持 Java、Python、Go、Ruby、JavaScript 等多种语言的依赖检测
 - 与 Syft（SBOM 生成器）配合效果好
 - 可自定义漏洞数据库源
 - 支持离线扫描模式
 **安装与使用：**
 ```bash
 # 安装 Grype
 curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh | sh -s -- -b /usr/local/bin
 # 扫描镜像
 grype docker:nginx:latest
 # 与 Syft 配合生成 SBOM
 syft docker:nginx:latest -o json > sbom.json
 grype sbom:sbom.json
 # 扫描特定目录
 grype dir:/path/to/app
 ```
 #### Snyk - 完整的安全平台
 Snyk 提供了商业级的安全扫描服务，特别适合企业环境。
 **特点：**
 - 支持开源漏洞和许可证扫描
 - 与多个 Git 平台深度集成（GitHub、GitLab、Bitbucket）
 - 提供修复建议和自动化修复 PR
 - 支持 Kubernetes 部署后安全监控
 **基本使用：**
 ```bash
 # 安装 Snyk CLI
 npm install -g snyk
 # 认证
 snyk auth
 # 扫描镜像
 snyk container test docker-archive://image.tar
 # 监控仓库
 snyk monitor --docker
 ```
 **工具对比表：**
 | 特性 | Trivy | Grype | Snyk |
 |------|-------|-------|------|
 | 零依赖 | ✓ | ✗ | ✗ |
 | 离线模式 | ✓ | ✓ | ✗ |
 | 许可证扫描 | ✗ | ✓ | ✓ |
 | 自动修复 | ✗ | ✗ | ✓ |
 | 开源免费 | ✓ | ✓ | 部分 |
 | IDE 集成 | ✓ | ✓ | ✓ |
 ### 18.6.2 SBOM（软件物料清单）生成与管理
 SBOM（Software Bill of Materials）是一份详细列表，记录了软件中使用的所有组件、依赖库及其版本信息。SBOM 在供应链安全中至关重要，特别是在发现新的安全漏洞时，能快速定位受影响的应用。
 #### Syft - SBOM 生成工具
 Syft 是 Anchore 推出的专业 SBOM 生成工具。
 **安装：**
 ```bash
 curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh -s -- -b /usr/local/bin
 ```
 **生成 SBOM：**
 ```bash
 # 从镜像生成 SBOM（多种格式）
 syft docker:nginx:latest -o json > sbom.json
 syft docker:nginx:latest -o spdx > sbom.spdx
 syft docker:nginx:latest -o cyclonedx > sbom.xml
 # 从本地文件系统生成
 syft dir:/path/to/app -o json > sbom.json
 # 从 OCI 镜像档案生成
 syft oci-archive:image.tar -o json > sbom.json
 ```
 #### CycloneDX 与 SPDX 格式
 两种主流的 SBOM 格式：
 **CycloneDX 格式示例：**
 ```xml
 <?xml version="1.0" encoding="UTF-8"?>
 <bom xmlns="http://cyclonedx.org/schema/bom/1.4" version="1">
  <components>
    <component type="library">
      <name>openssl</name>
      <version>1.1.1k</version>
      <purl>pkg:deb/debian/openssl@1.1.1k-1+deb11u5</purl>
    </component>
    <component type="library">
      <name>curl</name>
      <version>7.74.0-1.3+deb11u1</version>
      <purl>pkg:deb/debian/curl@7.74.0-1.3+deb11u1</purl>
    </component>
  </components>
 </bom>
 ```
 **SPDX 格式示例：**
 ```json
 {
  "SPDXID": "SPDXRef-DOCUMENT",
  "spdxVersion": "SPDX-2.2",
  "creationInfo": {
    "created": "2024-03-01T12:00:00Z",
    "creators": ["Tool: syft"]
  },
  "packages": [
    {
      "SPDXID": "SPDXRef-Package-openssl",
      "name": "openssl",
      "versionInfo": "1.1.1k",
      "downloadLocation": "NOASSERTION"
    }
  ]
 }
 ```
 #### SBOM 的应用场景
 **漏洞关联：**
 当新的 CVE 被发现时，可快速查询受影响的应用：
 ```bash
 # 使用 Grype 针对 SBOM 进行漏洞扫描
 grype sbom:sbom.json --add-cpes-if-none
 ```
 **合规性报告：**
 将 SBOM 保存为构建产物，用于审计和合规性检查。
 **依赖升级决策：**
 通过分析 SBOM 中的依赖版本，制定安全升级计划。
 ### 18.6.3 镜像签名与验证（Cosign/Notary）
 镜像签名确保镜像的来源可信且未被篡改。两种主流方案是 Cosign 和 Notary。
 #### Cosign - 现代签名解决方案
 Cosign 是 Sigstore 项目的核心工具，支持无密钥签名，适合现代 CI/CD 流程。
 **安装：**
 ```bash
 wget https://github.com/sigstore/cosign/releases/latest/download/cosign-linux-amd64
 chmod +x cosign-linux-amd64
 sudo mv cosign-linux-amd64 /usr/local/bin/cosign
 ```
 **生成密钥对（传统方式）：**
 ```bash
 cosign generate-key-pair
 # 生成 cosign.key 和 cosign.pub
 ```
 **签名镜像：**
 ```bash
 # 使用私钥签名（推送到仓库前）
 cosign sign --key cosign.key myregistry.com/myapp:v1.0.0
 # 系统会提示输入私钥密码
 ```
 **验证签名：**
 ```bash
 # 使用公钥验证
 cosign verify --key cosign.pub myregistry.com/myapp:v1.0.0
 # 输出结果示例
 # Verification successful!
 # {
 #   "critical": {
 #     "identity": {...},
 #     "image": {...},
 #     "type": "cosign container image signature"
 #   },
 #   "optional": {...}
 # }
 ```
 **Keyless 签名（推荐用于 CI/CD）：**
 ```bash
 # 在 GitHub Actions 等 CI 中无需存储密钥
 cosign sign --yes myregistry.com/myapp:v1.0.0
 # 验证时自动使用 OIDC 令牌验证身份
 cosign verify myregistry.com/myapp:v1.0.0 \
  --certificate-identity https://github.com/myorg/myrepo/.github/workflows/build.yml@refs/heads/main \
  --certificate-oidc-issuer https://token.actions.githubusercontent.com
 ```
 #### Docker Content Trust（DCT）与 Notary
 Docker Content Trust 使用 Notary 实现镜像签名，是 Docker 官方的签名解决方案。
 **启用 DCT：**
 ```bash
 # 在环境中启用 DCT
 export DOCKER_CONTENT_TRUST=1
 # 此后所有 docker push/pull 都需要签名
 docker push myregistry.com/myapp:v1.0.0
 # 如果镜像未签名，操作会被拒绝
 # 禁用 DCT（仅用于特定操作）
 docker push --disable-content-trust myregistry.com/myapp:v1.0.0
 ```
 **签名密钥管理：**
 ```bash
 # 首次推送时会提示创建 Delegation Key
 # 密钥存储在 ~/.docker/trust/private/root_keys/ 和 ~/.docker/trust/private/tuf_keys/
 # 查看签名信息
 docker inspect --format='{{.RepoDigests}}' myregistry.com/myapp:v1.0.0
 ```
 ### 18.6.4 供应链安全最佳实践
 #### 1. 基础镜像安全
 ```dockerfile
 # ❌ 不推荐：使用 latest 标签
 FROM ubuntu:latest
 RUN apt-get update && apt-get install -y curl
 # ✓ 推荐：固定基础镜像版本和摘要
 FROM ubuntu:22.04@sha256:a6d2b38300ce017add71440577d5b0a90460d0e6...
 RUN apt-get update && apt-get install -y curl=7.68.0-1ubuntu1
 ```
 #### 2. 构建时扫描
 在 Dockerfile 中集成安全扫描：
 ```dockerfile
 FROM golang:1.20-alpine AS builder
 WORKDIR /app
 COPY . .
 # 使用 Trivy 扫描源代码
 RUN apk add --no-cache curl && \
    curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin && \
    trivy fs . --exit-code 1 --severity HIGH,CRITICAL
 RUN go build -o app .
 FROM alpine:3.17@sha256:abcd...
 COPY --from=builder /app/app /app
 ```
 #### 3. 运行时镜像扫描策略
 ```bash
 # 镜像构建完成后立即扫描
 trivy image --severity HIGH,CRITICAL \
  --exit-code 1 \
  --timeout 30m \
  $IMAGE_NAME:$IMAGE_TAG
 # 定期扫描已部署的镜像
 trivy image --scanners vuln,misconfig registry:5000/myapp:latest
 ```
 #### 4. 镜像仓库安全配置
 **Harbor（私有镜像仓库）的安全扫描：**
 ```yaml
 # harbor.yml 配置示例
 trivy:
  enabled: true
  # 启用镜像扫描
  image_source: "Official"
 # 默认扫描配置
 scan_on_push: true  # 推送时自动扫描
 scan_all: true      # 扫描仓库中的所有镜像
 ```
 #### 5. 政策执行（Admission Controller）
 在 Kubernetes 环境中使用 Admission Webhook 强制镜像签名和扫描：
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
 metadata:
  name: image-security-policy
 webhooks:
 - name: image-security.example.com
  clientConfig:
    service:
      name: image-security-webhook
      namespace: security
      path: "/validate"
  rules:
  - operations: ["CREATE", "UPDATE"]
    apiGroups: [""]
    apiVersions: ["v1"]
    resources: ["pods"]
  admissionReviewVersions: ["v1"]
  sideEffects: None
 ```
 ### 18.6.5 CI/CD 中集成安全扫描
 #### GitHub Actions 工作流示例
 ```yaml
 name: Build and Scan Image
 on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]
 env:
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}
 jobs:
  build-scan:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      packages: write
      security-events: write
    steps:
    - name: Checkout code
      uses: actions/checkout@v3
    - name: Set up Docker Buildx
      uses: docker/setup-buildx-action@v2
    - name: Build Docker image
      uses: docker/build-push-action@v4
      with:
        context: .
        push: false
        load: true
        tags: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest
    - name: Run Trivy vulnerability scan
      uses: aquasecurity/trivy-action@master
      with:
        image-ref: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest
        format: 'sarif'
        output: 'trivy-results.sarif'
        severity: 'HIGH,CRITICAL'
    - name: Upload Trivy results to GitHub Security tab
      uses: github/codeql-action/upload-sarif@v2
      with:
        sarif_file: 'trivy-results.sarif'
    - name: Generate SBOM
      uses: anchore/sbom-action@v0
      with:
        image: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest
        format: cyclonedx-json
        output-file: sbom-cyclonedx.json
    - name: Upload SBOM
      uses: actions/upload-artifact@v3
      with:
        name: sbom
        path: sbom-cyclonedx.json
    - name: Sign image with Cosign
      if: github.event_name == 'push'
      env:
        COSIGN_EXPERIMENTAL: 1
      run: |
        cosign sign --yes ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest
    - name: Login to Registry and Push
      if: github.event_name == 'push'
      uses: docker/login-action@v2
      with:
        registry: ${{ env.REGISTRY }}
        username: ${{ github.actor }}
        password: ${{ secrets.GITHUB_TOKEN }}
    - name: Push image
      uses: docker/build-push-action@v4
      with:
        context: .
        push: true
        tags: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest
 ```
 #### GitLab CI 工作流示例
 ```yaml
 stages:
  - build
  - scan
  - sign
  - push
 variables:
  REGISTRY: registry.gitlab.com
  IMAGE_NAME: $REGISTRY/$CI_PROJECT_PATH
 build:
  stage: build
  image: docker:latest
  services:
    - docker:dind
  script:
    - docker build -t $IMAGE_NAME:$CI_COMMIT_SHA .
    - docker save $IMAGE_NAME:$CI_COMMIT_SHA > image.tar
 scan:trivy:
  stage: scan
  image: aquasec/trivy:latest
  script:
    - trivy image --severity HIGH,CRITICAL --exit-code 1 docker-archive://image.tar
  allow_failure: false
 scan:grype:
  stage: scan
  image: anchore/grype:latest
  script:
    - grype docker-archive://image.tar
 generate:sbom:
  stage: scan
  image: anchore/syft:latest
  script:
    - syft docker-archive://image.tar -o cyclonedx > sbom.xml
  artifacts:
    reports:
      sbom: sbom.xml
 sign:
  stage: sign
  image: gcr.io/projectsigstore/cosign:latest
  script:
    - cosign sign --key $COSIGN_KEY $IMAGE_NAME:$CI_COMMIT_SHA
  only:
    - main
 push:
  stage: push
  image: docker:latest
  services:
    - docker:dind
  script:
    - docker load < image.tar
    - docker login -u $REGISTRY_USER -p $REGISTRY_PASSWORD $REGISTRY
    - docker push $IMAGE_NAME:$CI_COMMIT_SHA
  only:
    - main
 ```
 ### 18.6.6 常见问题与最佳实践
 **Q: 扫描报告中有过时的 CVE，如何处理？**
 A: 某些 CVE 可能已经被修复但数据库未更新，可以：
 - 手动验证安全补丁是否已应用
 - 使用工具的忽略列表功能（如 Trivy 的 `.trivyignore`）
 - 定期更新扫描工具和漏洞数据库
 **Q: 如何平衡镜像大小和安全性？**
 A:
 - 使用多阶段构建减少最终镜像大小
 - 使用精简基础镜像（Alpine、Distroless）
 - 定期更新依赖而不是一味求小
 - 优先安全性，体积次之
 **Q: 如何管理和轮换签名密钥？**
 A:
 - 在密钥管理系统（如 HashiCorp Vault）中存储密钥
 - 定期轮换密钥（建议每 90 天）
 - 使用 Keyless 签名消除密钥管理复杂性
 - 保留密钥轮换的审计日志
--- a/18_security/README.md
+++ b/18_security/README.md
@@ -43,6 +43,9 @@ flowchart LR
 * [其它安全特性](18.5_other_feature.md)
  * 镜像安全（漏洞扫描、签名验证）、运行时安全（非 root 运行、只读文件系统、Seccomp、AppArmor）、Dockerfile 安全实践、软件供应链安全（SBOM、SLSA）。
 * [镜像安全](18.6_image_security.md)
  * 容器镜像的安全扫描、漏洞检测与签名验证。
 ## 安全扫描清单
 部署前检查：