容器映像档扫描工具Aqua MicroScanner整合Jenkins让映像档建置前先通过漏洞扫描

Aqua

日前容器资安新创Aqua释出了一款免费的映像档扫描工具MicroScanner，相比付费版本，MicroScanner的应用情境较为阳春，仅能在Dockerfile执行建置阶段时进行扫描工作。而在近日，Aqua也补强此款漏洞扫描工具的功能，推出免费映像档扫描套件支援Jenkins。Aqua目前已经把该Jenkins套件，公开在GitHub页面。Aqua表示，使用此功能前，必须满足两个条件。首先，必须将Docker与Jenkins，安装在同一台主机上。第二个条件，Jenkins使用者必须被加入Docker群组，拥有执行Docker的权限。

完成安装MicroScanner与Jenkins套件后，就能将容器映像档扫描服务整合至持续整合流程，当容器映像档经过建置流程时，会透过MicroScanner扫描，如果发现该映像档存在漏洞，映像档建置工作就会失败。藉此，确保部署至正式环境中的映像档，都有一定安全性。此外，使用者也可以整合Jenkins与HTML，漏洞扫描工作完成后，相关报告输出成HTML页面。

想要使用该套件的开发者，必须先取得一组Token，完成安装、组态设定后，输入该组Token启动MicroScanner。图片来源：Aqua

安装完毕后，MicroScanner就可以整合至开发建置流程。当该工具发现映像档存在严重漏洞时，使用者可以选择产生报告，并且继续允许通过建置。或是产生系统报告，并且让系统无法完成建置工作。图片来源：Aqua

开发者还可以把MicroScanner插入Build Step脚本。图片来源：Aqua

当MicroScanner被整合至Build Step后，以后开发者使用Jenkins进行自动化建置工作时，系统也会自动执行容器映像档扫描。图片来源：Aqua

当映像档完成扫描后，MicroScanner会判读该映像档的风险程度，并且列出该映像档中存在的漏洞数目。图片来源：Aqua

在扫描报告中点选「漏洞」选项，系统会列出更多漏洞细节，包含漏洞的CVE编号、风险程度。除了已有CVE编号的漏洞，其他被软体厂商揭露，但是尚未列入编号的漏洞，一旦MicroScanner扫出该漏洞存在，也会在该清单中列出。图片来源：Aqua