Photo by Kevin Ku / Unsplash

Trivy : détecter les vulnérabilités d'images Docker

Global 08 juin 2022

Il y a plus de 5 ans (!!) je présentais Docker Bench Security, l'outil de Docker, pour scanner et informer/alerter sur la sécurité de son environnement.

Voici par exemple pour mon NUC1 : https://pastebin.com/dv6WjBaT
TL;DR : je lance mes Dockers en root et c'pas bien.

C'est bien mais ça ne fait pas tout. Et AMHA le plus important est de se préoccuper des Dockers eux-mêmes.

C'est là que Trivy prend tout son sens. On peut scanner les images (donc n'importe quelle image, pas juste les locales) pour obtenir un résumé des vulnérabilités présentes (ou non).

Exemple avec des images "pignon sur rue" de Radarr par LSIO et gluetun de qmcgaw (client VPN)

[email protected]:/home/aerya# trivy i linuxserver/radarr:nightly
2022-06-08T16:37:34.833+0200	INFO	Detected OS: alpine
2022-06-08T16:37:34.833+0200	INFO	Detecting Alpine vulnerabilities...
2022-06-08T16:37:34.840+0200	INFO	Number of language-specific files: 0

linuxserver/radarr:nightly (alpine 3.15)

Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)

[email protected]:/home/aerya# [email protected]:/home/aerya# trivy i qmcgaw/gluetun:latest
2022-06-08T16:06:55.861+0200    INFO    Detected OS: alpine
2022-06-08T16:06:55.861+0200    INFO    This OS version is not on the EOL list: alpine 3.16
2022-06-08T16:06:55.861+0200    INFO    Detecting Alpine vulnerabilities...
2022-06-08T16:06:55.863+0200    INFO    Number of language-specific files: 1
2022-06-08T16:06:55.863+0200    INFO    Detecting gobinary vulnerabilities...

qmcgaw/gluetun:latest (alpine 3.16.0)

Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)


gluetun-entrypoint (gobinary)

Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)

Et en revanche avec une image ancienne et non maintenue de vnStat de vergoh : https://pastebin.com/VNG0XbMd

Pour vnStat ça ne me dérange pas vu que ça ne fait qu'afficher des stats de trafic. Y'a pas grand chose à exploiter.

Pour l'image officielle de Plex ça passe : https://pastebin.com/xP9bsiSH

L'intérêt de Trivy est de jeter un oeil à une image avant de l'utiliser. Concernant les plus connues/utilisées on peut en général être confiant, pour certaines anciennes il faudra peut-être prendre le temps de se poser les bonnes questions :
- Y'a-t-il d'autres images ?
=> je les teste
- Est-ce qu'un dockerfile est publié ?
=> dans ce cas soit voir si le dockerfile récupère des versions à jour automatiquement où s'il faut les MàJ dans l'écriture
- Y'a rien d'autre ?
=> je me prends par la main et 1.abandonne mon idée 2.fais mon image 3.assume d'utiliser celle que j'ai trouvée

Mots clés

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.