Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
容器安全测试的专业技能和方法论
How to use
Zainstaluj narzędzie Trivy, które służy do skanowania obrazów Docker na podatności. Uruchom polecenie: trivy image nazwa_obrazu:tag, aby przeskanować obraz z repozytorium, lub trivy image --input plik.tar, aby przeskanować lokalny obraz. Możesz filtrować wyniki tylko do krytycznych podatności za pomocą flagi --severity HIGH,CRITICAL.
Przeanalizuj konfigurację Dockerfile pod kątem zagrożeń bezpieczeństwa. Sprawdź, czy używasz konkretnych wersji obrazów bazowych (zamiast latest), czy wszystkie pakiety mają określone wersje, czy aplikacja nie działa jako root, oraz czy nie ma hardkodowanych haseł lub danych wrażliwych w zmiennych środowiskowych.
Wdrażaj najlepsze praktyki w Dockerfile: używaj konkretnych tagów wersji (np. ubuntu:20.04), twórz użytkowników bez uprawnień root (RUN useradd -m appuser; USER appuser), minimalizuj rozmiar obrazu wybierając alpine, oraz stosuj wieloetapowe buildy (FROM ... AS builder) aby zmniejszyć warstwę finalną.
Sprawdź uprawnienia i konfigurację działających kontenerów za pomocą poleceń: docker ps --filter "label=privileged=true" (aby znaleźć kontenery uprzywilejowane), docker inspect nazwa_kontenera (aby sprawdzić zamontowane katalogi hosta i konfigurację sieci), oraz docker stats nazwa_kontenera (aby monitorować limity pamięci i CPU).
Dla środowisk Kubernetes przeanalizuj bezpieczeństwo konfiguracji: zweryfikuj ustawienia kont serwisowych, sprawdź polityki RBAC (Role-Based Access Control), przejrzyj sieciowe polityki dostępu oraz upewnij się, że kontenery mają odpowiednio skonfigurowane limity zasobów i izolację sieci.