开源镜像漏洞扫描器

现在打包应用到 Docker Image 变的越来越普遍了，因此镜像的安全性也变得越来越重要了；

很多人认为只要打包成镜像应用就是安全的，但是大家也知道镜像是一个静态文件，由很多层组成，只要其中的一层发现漏洞，就会对你的应用造成威胁；

现在也出现了很多开源的漏洞扫描工具，用来扫描镜像中可能存在的漏洞，有 Anchore ， Clair 和 Trivy

Anchore 是用 python 写的，主要功能就是对 Docker Image 的扫描，它是一个 CLI 工具，当然也可以通过 API 的方式调用； Anchore 也有一款带有界面的 Anchore Enterprise 版本

Anchore Github

Clair 是用 Golang 写的，主要实现了对 Docker image 的漏洞分析，用户可以调用它的 API 来扫描镜像中的漏洞

Clair Github

Trivy 也是用 Golang 写的，它不仅实现了对 Image 的扫描，还可以扫描文件，Git 仓库以及配置锋答；它也是一个 CLI 工具，安装之后就可以通过命令实现扫描功能昌基早

Tricy Github

下面就用这三个扫描器分别对 Docker 官方统计的常用镜像扫描，扫描结果的对比如下：

Anchore 和 Clair 相比较 Trivy 出现的时间更早，但是耐雀扫描的结果发现 Trivy 能发现更多的漏洞，尤其是对 alphine 镜像；现在大部分镜像的基础镜像都会选择 alpine ，因为它更加轻量级而且漏洞相对较少

而 Anchore 和 Clair 对一些 alpine 镜像是扫描不出来漏洞的，但是使用 Trivy 却能够找到；之前部署的 Harbor 版本使用的扫描器是 Clair ，扫描 alphine 镜像之后没有发现漏洞，就认为是安全的；现在 Harbor2.0 之后是使用 Trivy 作为默认扫描器，对一些 alphine 就能够扫描出来漏洞了

Trivy 相对于其他两个来说，安装更加的简单，使用也更加的方便；并且能够支持多种类型的文件的扫描，目前也是 Harbor 默认的扫描器

参考连接：

https://boxboat.com/2020/04/24/image-scanning-tech-compared/

https://www.a10o.net/devsecops/docker-i

在如今互联网的时代，互联网的安危真真切切的影响到了我们的生活，在网络上，一直隐藏着许许多多的黑客，破坏网站的安防，挖漏洞来来找下一个金主，而网站则是不断的使用着网站漏洞扫描工具检查网站之中可能存在的隐患，防止有心人得逞，或者是造成网站的瘫痪，下面我们来介绍一下比较出名的网站漏洞扫描工具，在个人生活之中也可以使用的到。

一、Wireshark

Wireshark是一个网络包封包的分析软件，可以截获网络之中的网络封包，查询其中的资料，不同人的使用范围也是不同的，有人拿它来进行网络的检测，有人来进行网络协议的学习，别有用心的人拿它来触碰网络中的敏感信息，它本身是开源免费的，所以使用人数众多，猫狗蛇鼠一窝的情况也会发生。这款软件主要的作用还是对网络的一个截获分析和了解，并不会对网络之中的异常行为警醒，但是能清晰明了的看出流量的变化，和包内的内容，全靠维护者自己保护电脑的安全。

二、Acunetix

这是全世界范围内领先的网站漏扮如洞扫描工具，也是一种网络安全设备，可以针对来自web黑客的攻击，尽管是穿过了防火墙，伪装的再好，也会被他分析检测到，在它1997年诞生的时候，就是针对网络安全技术的一种革新，网络应用安全扫描技伏缺银术就是Acunetix所研发出来了。他的工作主要是通过检查SQL注入、跨站点脚本和其他的漏洞来审核Web程序的安全性，会扫描你浏览的所有Web页面，找到问题，并提供强大的解决方案。他本身还是一种高级的爬虫，只要是文件，它几乎都可以找到。

三、Nikto

这是一款开源的Web服务器扫描工具，对网页进行检测，其中有着3300种潜在威胁检测文件，包含625种服务器的版本号，230中的服务器问题的检测，不过这个软件的作者更新速度不稳定，对于新的网站的威胁可能检测不到。不过本身的功能还是很强大的，针对危险的检测缺宴和反侦测行为，躲避危险，并且隐藏自身的参数，将自己与危险隔离开来，并且检测访问的网站的问题。

---