Container-Image-Scanning
Was ist Container-Image-Scanning?
Container-Image-ScanningPraxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen.
Container-Image-Scanning untersucht jede Schicht eines OCI-Images — Basis-OS, Sprachpakete, eingebettete Binaries und Metadaten — auf bekannte CVEs, hartkodierte Credentials, Malware-Signaturen und nicht konforme Konfigurationen. Die Werkzeuge teilen sich in zwei Familien: Open-Source-Scanner (Trivy von Aqua Security, Grype von Anchore, Clair und Docker Scout) und kommerzielle CNAPPs (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Scans laufen typischerweise an drei Stellen: Entwickler-Workstation, CI-Pipeline (Builds scheitern bei Policy-Verstoss) und Registry-Admission. Moderne Programme erzeugen zudem signierte SBOMs, die in Supply-Chain-Attestierung wie Sigstore und SLSA einfliessen, um Herkunft und Reproduzierbarkeit nachzuweisen.
● Beispiele
- 01
Einen GitHub-Actions-Job scheitern lassen, wenn das Base-Image eine CVSS-9.8-Schwachstelle in openssl enthalt.
- 02
Deployment eines Images blockieren, das eine geleakte .npmrc mit npm-Publish-Token enthalt.
● Häufige Fragen
Was ist Container-Image-Scanning?
Praxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Container-Image-Scanning?
Praxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen.
Wie funktioniert Container-Image-Scanning?
Container-Image-Scanning untersucht jede Schicht eines OCI-Images — Basis-OS, Sprachpakete, eingebettete Binaries und Metadaten — auf bekannte CVEs, hartkodierte Credentials, Malware-Signaturen und nicht konforme Konfigurationen. Die Werkzeuge teilen sich in zwei Familien: Open-Source-Scanner (Trivy von Aqua Security, Grype von Anchore, Clair und Docker Scout) und kommerzielle CNAPPs (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Scans laufen typischerweise an drei Stellen: Entwickler-Workstation, CI-Pipeline (Builds scheitern bei Policy-Verstoss) und Registry-Admission. Moderne Programme erzeugen zudem signierte SBOMs, die in Supply-Chain-Attestierung wie Sigstore und SLSA einfliessen, um Herkunft und Reproduzierbarkeit nachzuweisen.
Wie schützt man sich gegen Container-Image-Scanning?
Schutzmaßnahmen gegen Container-Image-Scanning kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Container-Image-Scanning?
Übliche alternative Bezeichnungen: Image-Scanning, Container-Schwachstellenscan.
● Verwandte Begriffe
- defense-ops№ 1175
Trivy
Quelloffener Single-Binary-Scanner von Aqua Security, der CVEs, Fehlkonfigurationen, Secrets, SBOM-Daten und Lizenzprobleme in Container-Images, Dateisystemen, Git-Repos und Kubernetes-Clustern findet.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
- appsec№ 1033
Shift-Left-Security
Praxis, Sicherheitsaktivitäten früher im Software-Lebenszyklus zu verankern, damit Schwachstellen gefunden und behoben werden, bevor Code in Produktion geht.
● Siehe auch
- № 403Falco