07 2023 档案

摘要：如同扫描Dockerfile一样，k8s各类运行资源模版也需要安全扫描 # Checkov安装 ## 参考[Dockerfile静态扫描](https://www.cnblogs.com/bfmq/p/17547524.html "Dockerfile静态扫描")过程安装即可 ## 对Manifes 阅读全文

摘要：> 如果容器构建过程受到破坏，它会使用户很容易意外使用恶意镜像而不是实际的容器镜像。对容器进行签名和验证始终确保我们运行的是实际的容器镜像。 https://github.com/sigstore/cosign # 安装二进制命令 ``` git clone https://github.com/s 阅读全文

摘要：> 扫描图像会给出容器图像的安全状态，并让我们采取行动来生成更安全的容器图像。我们应该避免安装不必要的包并使用多阶段方法。这样可以保持图像清洁和安全。图像扫描应在开发和生产环境中进行扫描图像会给出容器图像的安全状态，并让我们采取行动来生成更安全的容器图像。我们应该避免安装不必要的包并使用多阶段方法。 阅读全文

摘要：###### 我们的产物都是基于同一Dockerfile生成，因此我们需要保证这个底层Dockerfile的安全性 ###### Dockerfile的写法有很多，我一般会采用最简单的方式，即Dockerfile什么都不处理直接RUN ``` # 主要是时区跟源的问题，我们需要重封一次 [root@ 阅读全文

摘要：> 这是一种无需运行程序即可调试代码的方法。它根据预定义的规则集分析代码。 SonarQube允许所有开发人员编写更清洁、更安全的代码。它支持多种用于扫描的编程语言（Java、Kotlin、Go、JavaScript）。它还支持为代码覆盖率运行单元测试。它可以轻松地与 Jenkins 和 Azure 阅读全文

摘要：> 软件物料清单 (SBOM) 是一个完整的、正式结构化的组件、库和模块列表，这些组件、库和模块是构建（即编译和链接）给定软件以及它们之间的供应链关系所需的。这些组件可以是开源的或专有的，免费的或付费的，可以广泛使用或限制访问。 # 完成SBOM扫描分为两步 1. 生成SBOM清单 2. 基于清单进 阅读全文

摘要：> gitleaks是一个密码扫描工具，属于SAST扫描，可以协助我们扫描文件、代码仓中的密码、秘钥串类内容，实现安全左移 [https://github.com/gitleaks/gitleaks](https://github.com/gitleaks/gitleaks) # 安装二进制命令 # 阅读全文