云原生时代,随着 Docker、Kubernetes 技术的成熟,容器化成为了时下最火的开发理念。清源(CleanSource) SCA,在提供残缺的 SBOM 输入、精确的安全漏洞扫描和许可证剖析的根底上,新增容器镜像平安扫描性能,以保障用户的容器镜像平安。
清源(CleanSource) SCA,是安势信息研发的一款领有齐全自主知识产权的软件成分剖析工具,可能帮忙企业升高和治理其利用或容器中因应用开源软件和其余第三方代码(软件)引入的平安、品质与许可证合规性危险。
开源治理包含继续监控影响现有应用程序和容器中新的安全漏洞,清源 (CleanSource) SCA 能够帮忙应用 Docker(或其余容器)打包与交付部署的团队,确认并验证其容器中应用的开源软件合乎企业的平安与合规策略。
在此次公布的新版本中,清源 (CleanSource) SCA 反对以下性能:
扫描对象
反对 Docker 镜像仓库,如 DockerHub、Artifactory、Nexus 等
本地 *.tar 包
反对的包管理器数据库格局:apk、dpkg、rpm
扫描后果
提供精确全面的 SBOM(软件物料清单),辨认 Docker 镜像中开源软件的成分及其危险
扫描形式
上传应用 docker save -o 保留的本地 tar 包
指定镜像的 repository 和 tag,工具主动从 docker 仓库中拉取镜像进行扫描
集成能力
反对 CI(如 Jenkins)集成
部署形式
本地部署
SaaS
借助 清源(CleanSource) SCA,用户能够在工作创立页面触发扫描,疾速、精确地获取容器镜像的组件、许可证、破绽等详细信息,并对镜像进行检测与治理,从而保障您的容器镜像平安。
容器化技术容许将应用程序以容器的模式交付、部署并对外提供服务,在为软件开发人员和开发团队带来卓越的敏捷性、可迁移性以及老本优化等泛滥劣势的同时,相比于传统的 VM(Virtual Machine, 虚拟机),容器潜在的平安危险会更高。
2020 年国外某公司披露,在对 Docker Hub 中的 400 万个容器镜像剖析后,发现其中超过一半的容器镜像存在一个或多个高危破绽。即便在 Docker Hub 下载的官网镜像中也经常蕴含了大量的破绽,而开发人员在应用大量开源框架时更会加剧镜像破绽的问题。而现有的平安人员对于 DevOps 流程中的镜像齐全丢失治理能力,并且也无奈像传统的虚拟机扫描去对生产的容器做肯定的平安评估。能够说保障容器镜像平安迫不及待。
作为中国市场当先的软件供应链平安治理工具提供商,安势信息亲密关注中国开源软件供应链的平安,高度重视技术创新,致力于爱护用户代码的平安与合规。
安势信息将在后续的产品迭代更新中继续发力容器平安方向,为用户的容器平安保驾护航。