Anchore 란?
: 컨테이너 환경에서 사용될 이미지를 분석해 주는 툴
패키지 존재 여부 검색, 파일이나 패키지 상태의 변경사항 검사 가능
이미지들의 보안 취약성(CVE)를 스캔해주고 분석 가능
#Anchore 의 Feeds 과정
#피드(Feed) 설정
: 기본 앵커 설정 파일 (config.yaml)에서 피드 설정은 주석 처리되고 앵커 엔진은 기본 설정을 사용한다.
Anchore Engine은 https://ancho.re/v1/services/feeds 에서 호스팅되는 Anchore의 피드 서비스에서 피드 데이터를 기본적으로 다운로드한다. (서비스에는 인증이 필요하며 시스템에는 익명 사용자에 대한 기본 자격 증명이 포함되어야 함)
Anchore Engine은 기본적으로 CVE 정보와 같은 취약점 데이터만 동기화하고 또한 Anchore Feed 서비스는 NPM 패키지 레지스트리 및 Ruby Gems 레지스트리의 패키지 데이터를 제공한다.
이 패키지는 Node 및 Ruby 패키지 이름 및 버전뿐만 아니라 NVD (National Vulnerability Data)의 비-OLS 취약성 데이터를 검사하는 정책 검사의 일부로 사용할 수 있고, non-os 패키지 취약점 검사를 수행하는데 사용할 수도 있다.
출저:https://anchore.freshdesk.com/support/solutions/articles/36000052877-feed-configuration
ANCHORE는 CONTAINER 기반의 CI / CD 파이프 라인에 완벽하게 연결하여 ANALYTICS, COMPLIANCE 및 YOUR WORKFLOW에 대한 지침을 추가 할 수 있도록 설계되었습니다.
#Bulid
새 코드가 푸시되어 CI / CD 시스템이 최신 코드를 기반으로 새 컨테이너 이미지를 작성하도록 트리거됩니다.
#Analyze
빌드 파이프 라인의 일부로 Anchore는 추후에 쿼리 할 수있는 상세한 분석 데이터를 저장하는 이미지를 분석합니다.
#Evaluate
자세한 정책 평가가 수행되고 결과가 CI / CD 플랫폼으로 반환됩니다.
#Report
정책 위반으로 인해 빌드가 실패 할 수 있습니다. 정책 검사를 통과하면 이미지가 빌드 파이프 라인의 다음 단계로 계속 진행됩니다.
#Anchore 대표적 기능
: Anchore는 컨테이너 이미지에 대한 심층 분석을 수행하여 상세 매니페스트를 생성하고 특정 정책 게이트를 작성 및 적용하여 구내 및 클라우드의 전체 컨테이너 작업 부하를 확인한다.
VULNERABILITY SCANNING (취약성 검사)
: 취약성 검사 응용 프로그램 및 운영 체제 패키지의 알려진 취약점에 대한 상세하고 철저한 검사 수행 가능.
SECRETS & PASSWORDS ( 보안 & 비밀번호)
: 비밀번호, API 키 및 기타 민감한 정보를 포함하여 모든 비밀 정보가 이미지에 표시되지 않도록하십시오.
OPERATING SYSTEM PACKAGES (운영 시스템 패키지)
: Anchore는 컨테이너 이미지를 철저히 스캔하여 알려진 운영 체제 패키지를 식별함.
3RD PARTY LIBRARIES (3RD party 라이브러리)
: Node.js NPM, Ruby GEM, Python PIP, PERL CPAN 및 JAVA 아카이브를 포함하여 비 OS 제 3 자 라이브러리를 쉽게 식별함
WHITELIST (화이트 리스트)
: 화이트리스트 요소들의 이미지들은 분석을 수행할 때 이미지 배포를 차단하지 않도록 한다.
Whitelist elements of your image when performing analysis to ensure that detection does not block the deployment of an image
BLACKLIST (블랙 리스트)
: Anchore를 사용하면 사용자 이름, 사용자 ID, 라이센스, 패키지 또는 이미지 전체를 쉽게 차단할 수 있다.
DOCKERFILE CHECKS ( 도커파일 점검)
: 컨테이너 이미지에 대한 Dockerfile 또는 Docker 히스토리의 내용을 분석하고 수행함.
OTHER CHECKS (기타 검사)
: 구성 파일, 파일 사용 권한, 패키지되지 않은 파일 및 확인할 사항 체크
출저 : https://anchore.com/opensource/
- 매니페스트 (manifest file)
컴퓨팅에서 집합의 일부 또는 논리정연한 단위인 파일들의 그룹을 위한 메타데이터를 포함하는 파일이다. 예를 들어, 컴퓨터 프로그램의 파일들은 이름, 버전 번호, 라이선스, 프로그램의 구성 파일들을 가질 수 있다.
'infra > Docker' 카테고리의 다른 글
| Dachore 개발 (1) | 2019.06.03 |
|---|---|
| Docker_CVE-2016-3697 (0) | 2019.05.15 |
| Docker_CVE-2015-3627 (0) | 2019.05.14 |
| Docker_CVE-2014-3499 (0) | 2019.05.13 |
| 도커(Docker) 란 무엇인가? (0) | 2019.05.13 |
