Docker已經(jīng)成為許多企業(yè)和開(kāi)發(fā)者構(gòu)建和交付應(yīng)用程序的首選方式。Docker被設(shè)計(jì)為易于使用和快速，但這也帶來(lái)了安全風(fēng)險(xiǎn)。如果你沒(méi)有注意安全，你最終可能面臨代碼漏洞、容器撤回、數(shù)據(jù)泄露等風(fēng)險(xiǎn)。檢測(cè)這些漏洞，建議采用一些Docker安全掃描工具。

下面是一些基于開(kāi)源工具的Docker安全掃描教程：

#1. Docker Bench Security
Docker Bench Security是Docker最易于安裝的工具之一。它是根據(jù)CIS Docker Benchmarks來(lái)自動(dòng)掃描Docker打包的應(yīng)用程序，以檢查Docker主機(jī)上是否存在不安全的設(shè)置。這個(gè)工具能夠檢測(cè)多個(gè)漏洞，包括Docker主機(jī)的安全設(shè)置，包括端口暴露、數(shù)據(jù)訪(fǎng)問(wèn)和SSH登陸等。你可以使用以下命令安裝：
$ docker run -it --net host --pid host --cap-add audit_control \
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
-v /var/lib:/var/lib \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /usr/lib/systemd:/usr/lib/systemd \
-v /etc:/etc --label docker_bench_security \
docker/docker-bench-security
#2. Clair
CoreOS的Clair是另一個(gè)流行的Docker安全掃描器，它專(zhuān)門(mén)用于檢測(cè)Docker映像中的漏洞。Clair能夠檢測(cè)許多不同的漏洞，包括CVE掃描等。下面是幾個(gè)可以使用Clair的命令：
$ clairctl -d ./clair.db init
$ clairctl -d ./clair.db up
$ curl -H "Content-Type: application/json" --data-binary "@ubuntu.json" http://127.0.0.1:6060/v1/layers
$ curl http://127.0.0.1:6060/v1/layers/``
#3. Dockscan
Dockscan是一個(gè)來(lái)自NCC Group的工具，它是一個(gè)輕量級(jí)的和易于使用的Docker安全掃描器。它基于Python構(gòu)建，可以檢測(cè)Docker映像中的漏洞，以及Docker的部署設(shè)置。Dockscan內(nèi)置了許多漏洞檢測(cè)，包括openssl-heartbleed、shellshock、poodle等。你可以使用以下命令安裝：
$ git clone https://github.com/nccgroup/dockscan.git
$ cd dockscan
$ pip install -r requirements.txt
$ python dockscan.py -i ubuntu:14.04

以上是一些基于開(kāi)源工具的Docker安全掃描教程，利用它們可以探測(cè)Docker安全問(wèn)題并預(yù)防安全漏洞。