Artikel mit Tag image

Security Tools: Trivy – Docker Container auf Sicherheitslücken durchsuchen

Container sind nach wie vor in alle Munde. Wer, der Einfachheit halber, mit Docker hantiert, der sollte regelmäßig die Aktualität der verwendeten Images prüfen. Nicht erst seit Log4j verbergen sich unerwünschte Sicherheitslücken in veralteten Images.

trivy

Trivy

Das Open-Source-Tool Trivy bietet die Möglichkeit lokale Images, direkt im Filesystem oder entfernte Repositorys nach Lücken zu scannen. Das Programm scannt unter anderen Base Images wie Alpine, Debian, Ubuntu, CentOS, SUSE, Photon OS, Paketmanager und andere Abhängigkeiten mithilfe der eigenen Schwachstellendatenbank ab.

Die Trivy Datenbank basiert auf NVD und diverser Security Meldungen einzelner Programmiersprachen (siehe).

Installation Trivy Security Scanner Debian/Ubuntu

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

Einen Scan mit Trivy anstoßen

Um die Übersicht der Scanergebnisse zu behalten, empfiehlt es sich, die Ausgabe auf kritische Lücken zu beschränken

trivy image --severity HIGH,CRITICAL IMAGENAME

trivy-scan

Das Tool erlaubt es ebenfalls einen HTML Report zu veröffentlichen

trivy image --format template --template "@contrib/html.tpl" -o report.html golang:1.12-alpine

trivy-ergebnisse

Trivy kann auch das Filesystem untersuchen.

trivy fs /path/to/project

Schlussendlich kann auch direkt via GitHub gescannt werden.

trivy repo https://github.com/knqyf263/trivy-ci-test

Fazit

Wer Docker im Einsatz hat, sollte die verwendeten Images regelmäßig auf Sicherheitslücken und Abhängigkeiten prüfen. Der Profi baut seine Images sicher selbst und weiß, was er tut, allerdings übersieht ein DevOp auch dort mal Abhängigkeiten. Auch hier schafft Trivy praktische Abhilfe, denn es lässt ich schnell in CI Workflows, beispielsweise von Gitlab integrieren.

Download

Android 4.0 Ice Cream Sandwich und andere Versionen auf dem PC nutzen

Wer sich für Android interessiert, muss nicht zwingend ein Smartphone besitzen. Es gibt verschieden Möglichkeiten, um ein Androidsystem am PC zu booten.

Eine davon wäre eine Entwicklungsumgebung, beispielsweise mit Eclipse und dem Android SDK, welches inzwischen in Version 17 veröffentlicht wurde und nun offiziell die x86 Architektur unterstützt. Für Entwickler ist das sicherlich eine gute Variante, um selbst erstellte Apps im laufenden Betrieb zu testen. Leider ist diese Form der Nutzung etwas behäbig und träge.

Einfacher und schneller geht es mit den freien ISOs von android-x86, dort können Images von Android 2.3, 2.3, 3.2 und dem aktuellen 4.0 Ice Cream Sandwich heruntergeladen und installiert werden.

Bevor es mit der Installation richtig los geht, muss eine virtuelle Maschine aufgesetzt werden, wahlweise mit VirtualBox  oder VMWare. Ich habe mich für VirtualBox entschieden.

Virtuelle Maschine für Android erstellen

Achtung: Bei Android 4 können wir uns diesen Schritt sparen

  • neue virtuelle Maschine
  • Name: Android
  • Betriebssystem: Linux
  • Version: Other Linux
  • Größe Hauptspeicher: 256 MB besser 512MB
  • Festplatte: bootfähig 2GB
  • Installationsmedium: android-x86-2.2-generic.iso
    • Achtung: Alle anderen Versionen der Seite  android-x68 unterstützen kein Netzwerk
  • Neustart

NeuevirtuelleMaschineerstellen

Android 2.2 oder 4 (Ice Cream Sandwich) auf virtueller Maschine installieren

Für Android 4 kann ein fertiges VirtualBox Image verwendet werden, damit fällt die erste Konfiguration der virtuellen Maschine flach. Nützlicherweise bringt dieses Image USB Unterstützung mit.

Android-4

  • Create/Modify Partitions
  • Neue Partition erstellen (new)
  • Primäre Partition erstellen (primary)

Android-4-2

  • Größe belassen
  • Bootfähig machen (bootable)
  • Auswahl mit "Write" und "yes"bestätigen (Achtung z=y)
  • Quit

Android-4-Installation
  • Festplatte (sda1) formatieren
  • Ext3 auswählen
  • Mit "yes" bestätigen
  • Bootloader "GRUB" installieren
  • System Directory read/write fähig machen
  • Installation abschließen
  • ISO aus CD Laufwerk entfernen
  • Android starten

Android-4-start

Die Maus ist nicht zu sehen bzw. nicht integriert

  • Host Taste(Strg-Rechts) + I drücken oder über Maschine\Mauszeiger Integration deaktivieren

Wichtige Tastatur Befehle

  • Alt + F1: Console
  • Alt + F7: Oberfläche
  • Esc: Eins zurück

Netzwerk funktioniert nicht

  • Beide Androidsysteme unterstützen nur DHCP
  • VirtualBox oder VMWare auf Bridge Modus umstellen

Android Market bzw. Google Play funktioniert nicht

Diese Manko muss aufgrund fehlender Lizenzen leider in Kauf genommen werden. Wer den Market verwenden möchte, muss auf das Android SDK in Verbindung mit ein paar Tricks zurückgreifen. Alternativen wie AndroidPit funktionieren leider auch nicht richtig. Beim Froyo Image (Version 2.2) wird zusätzlich ein alternativer App Store angeboten.