Kurz gesagt: Aikido unterstützt Aikido „Docker Hardened Images“. Ein Scan, der früher Hunderte von CVEs ergab, liefert nun nur noch eine Handvoll tatsächlich relevanter Ergebnisse, da die VEX-Zertifizierungen von Docker alles herausfiltern, was als nicht ausnutzbar verifiziert wurde. Ganz ohne zusätzliche Konfiguration.
Container hat ein Lärmproblem
Man scannt ein container und erhält eine Liste mit 50, 100 oder manchmal sogar Hunderten von CVEs. Man öffnet ein paar davon. Einige sehen beängstigend aus. Die meisten sind irrelevant. Einige wurden vom Image-Betreuer bereits behoben. Andere befinden sich in Teilen des Images, die in der eigenen Umgebung gar nicht erreicht werden können. Aber das Tool weiß davon nichts. Es markiert einfach alles und übergibt das Problem an einen.
Also verbringst du deinen Nachmittag damit, triage sie zu bearbeiten. Du versuchst herauszufinden, welche Alarme tatsächlich wichtig sind. Diejenigen, die dir risikoarm erscheinen, schließt du. Diejenigen, um die du dich „später“ kümmern willst, schiebst du auf. Und dann passiert nächste Woche wieder dasselbe.
Das ist kein Sicherheitsproblem. Es ist ein Problem des Signal-Rausch-Verhältnisses. Und es ist einer der Hauptgründe, warum Entwickler ihren Sicherheitstools irgendwann gar nicht mehr vertrauen. Wenn alles als Fehler markiert wird, wirkt nichts mehr dringend. Das ist eine gefährliche Situation.
Was sind Docker Hardened Images?
Docker Hardened Images sind zweckgebunden, oft distroless und enthalten ausschließlich die Software, die für die jeweilige Anwendung erforderlich ist. Die Angriffsfläche ist konstruktionsbedingt kleiner, und Patches werden in vielen Fällen schneller bereitgestellt als im Upstream. Außerdem bieten sie etwas, was die meisten Basis-Images nicht haben: VEX-Zertifizierungen.
VEX steht für „Vulnerability Exploitability eXchange“. Es handelt sich um einen Standard, mit dem Image-Betreuer mitteilen können, welche CVEs in einem bestimmten Image tatsächlich nicht ausnutzbar sind und warum. Möglicherweise ist die anfällige Komponente in diesem Build nicht vorhanden. Oder der Codepfad, der eine Gefährdung darstellen würde, existiert in diesem Kontext nicht. Docker führt die Analyse durch und veröffentlicht das Ergebnis für jedes von ihnen betreute gehärtete Image.
Sie scannen das Image, finden die CVE in einem Paket und markieren es trotzdem. Wenn du also ein sichereres Image einsetzt, deinen ersten Scan durchführst, färbt sich dein Feed rot. Es gibt mehr Warnmeldungen als zuvor. Es sieht so aus, als hättest du die Situation verschlimmert, obwohl genau das Gegenteil der Fall ist.
Wie man Aikido damit Aikido
Wenn Aikido ein „Docker Hardened Image“ in Ihrer Registry Aikido , ruft es die zusammen mit dem Image SBOM signierte SBOM ab, um sich ein genaues Bild vom tatsächlichen Inhalt zu machen, und gleicht diese dann mit den VEX-Bescheinigungen von Docker ab, um festzustellen, welche Schwachstellen tatsächlich ausnutzbar sind. Jede Schwachstelle, die Docker als behoben, nicht betroffen oder anderweitig als nicht triage markiert hat, triage ausgeblendet, bevor sie überhaupt in Ihren Feed gelangt.
.png)
Die ausgeblendeten Schwachstellen verschwinden nicht einfach. Sie werden auf der Registerkarte „Ignoriert“ angezeigt, sodass Sie stets einen vollständigen Überblick darüber haben, was gefunden und was herausgefiltert wurde.
Klicken Sie auf einen beliebigen Eintrag, und Aikido Ihnen direkt in diesem Reiter die vollständige Begründung sowie Dockers eigene Überprüfung Aikido .
%20(1).png)
.png)
Für Sicherheits- und compliance bedeutet dies, dass Sie einen dokumentierten, nachprüfbaren Grund vorweisen können, wenn ein Prüfer fragt, warum eine CVE nicht behoben wurde.
Keine Einrichtung erforderlich. Im Ernst.
Es sind keine zusätzlichen Konfigurationen erforderlich. Verbinden Sie Ihre Docker Hub-Registry, scannen Sie ein gehärtetes Image, und Aikido den Rest automatisch im Hintergrund. Wenn Sie in Aikido bereits mit Docker Hub verbunden sind, funktioniert das Ganze bereits für Sie.
Falls Sie noch keine Verbindung hergestellt haben, dauert das etwa zwei Minuten. Gehen Sie zu „Einstellungen“ > „Container“, klicken Sie auf „Registry verbinden“, wählen Sie „Docker Hub“ aus, geben Sie Ihren Namespace und ein Token für den Lesezugriff ein. Das war’s schon. Aikido Ihre Repositorys, und jedes von Ihnen ausgeführte Docker Hardened Image wird bei jedem Scan automatisch einer vollständigen VEX-Prüfung unterzogen.
Sicherheit, die Entwicklern zugute kommt
Alarmmüdigkeit ist ein echtes Problem. Wenn Ihr Sicherheitstool bei jedem Scan falschen Alarm schlägt, hört man irgendwann nicht mehr hin. Und wenn man nicht mehr hinhört, entgehen einem echte Probleme.
Verbinden Sie Ihre Docker Hub-Registry und sehen Sie, wie Ihr Feed aussieht, wenn er Ihnen nur das anzeigt, was wirklich wichtig ist.
Starten Sie hier mit Docker Hardened Images → https://integrations.aikido.dev/integrations/docker-hub
Seien Sie am 25. Juni live dabei und erleben Sie die Integration Aikido Docker in Aktion.
