我们有一个私有(private)Docker注册表(Sonatype nexus),其中包含我们所有的私有(private)Docker镜像。我一直在寻找一个开放源代码漏洞和安全扫描程序,用于扫描私有(private)注册表上的所有图像,我也想在Linux机器上安装该工具,并与Jenkins集成。
我遇到了旋锁, anchor 地,达格达。这些似乎都没有提供无需任何许可即可安装和使用的工具。
有输入吗?
最佳答案
您可以使用Clair:
https://github.com/coreos/clair
只需按照说明进行操作:
https://github.com/arminc/clair-scanner#run
将clair-db镜像上的日期替换为以下日期中的最新日期或特定日期
https://hub.docker.com/r/arminc/clair-db/tags/
您可以在此处获取扫描仪二进制文件:
https://github.com/arminc/clair-scanner/releases