Diferencias

Muestra las diferencias entre dos versiones de la página.

--- informatica:sistemas_operativos:cursos:docker_avanzado:distribucion_de_imagenes [2023/10/18 17:35] – [Docker Scout] tempwin
+++ informatica:sistemas_operativos:cursos:docker_avanzado:distribucion_de_imagenes [2023/10/18 18:30] (actual) – [Caso práctico] tempwin
@@ Línea 76: / Línea 76: @@
   * ''docker scout quickview'': Muestra un resumen rápido de los CVEs detectados en una imagen
   * ''docker scout recommendations'': Muestra las recomendaciones de actualización de las imágenes base y otras recomendaciones generales si están disponibles
+<WRAP center round info 60%>
+Para instalar docker scout en Linux sin Docker Compose se puede usar [[https://github.com/docker/scout-cli|Docker Scout CLI]]. Instalación rápida:
+<code>
+curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s --
+</code>
+</WRAP>
+<WRAP center round important 60%>
+Para usar docker scout es necesario tener un Docker ID, para ello hay que crearse una cuenta en [[https://hub.docker.com/|Docker Hub]].
+</WRAP>
 ==== Caso práctico ====
@@ Línea 93: / Línea 105: @@
 </code>
-**3. Vamos a consultar el detalle de todas las vulnerabilidades**
+Ejemplo de salida:
+<code>
+    ✓ SBOM of image already cached, 143 packages indexed
+  Target   │  ubuntu:latest  │    0C     0H     2M    12L
+    digest │  e4c58958181a   │
+What's Next?
+  View vulnerabilities → docker scout cves ubuntu:latest
+  Include policy results in your quickview by supplying an organization → docker scout quickview ubuntu:latest --org <organization>
+</code>
+**3. Vamos a consultar el detalle de todas las vulnerabilidades**
+<code>
 docker scout cves ubuntu:latest
+</code>
+Ejemplo (resumido) de salida:
+<code>
+    ✓ SBOM of image already cached, 143 packages indexed
+    ✗ Detected 12 vulnerable packages with a total of 14 vulnerabilities
+## Overview
+                    │       Analyzed Image
+────────────────────┼──────────────────────────────
+  Target            │  ubuntu:latest
+    digest          │  e4c58958181a
+    platform        │ linux/amd64
+    vulnerabilities │    0C     0H     2M    12L
+    size            │ 34 MB
+    packages        │ 143
+## Packages and Vulnerabilities
+C     0H     1M     0L  perl 5.34.0-3ubuntu1.2
+pkg:deb/ubuntu/perl@5.34.0-3ubuntu1.2?os_distro=jammy&os_name=ubuntu&os_version=22.04
+    ✗ MEDIUM CVE-2022-48522
+      https://scout.docker.com/v/CVE-2022-48522
+      Affected range : >=0
+      Fixed version  : not fixed
+      CVSS Score     : 9.8
+      CVSS Vector    : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
+(...)
+vulnerabilities found in 12 packages
+  LOW       12
+  MEDIUM    2
+  HIGH      0
+  CRITICAL  0
+</code>
 **4. Finalmente vamos a probar el comando de recomendaciones**
+<code>
 docker scout recommendations ubuntu:latest
+</code>
-**5. Ve a hub.docker.com, busca la imagen de Ubuntu:latest y compara los resultados obtenidos con la información mostrada en Docker Hub**
+Ejemplo de salida:
-**6. Crea una imagen personalizada llamada ubuntu-updated tomando como imagen base ubuntu:latest y aplica las actualizaciones del sistema pertinentes.**
+<code>
+    ✓ SBOM of image already cached, 143 packages indexed
+Could not display recommendations for  ubuntu:latest
+image has no base image
+</code>
+**5. Ve a [[https://hub.docker.com|Docker Hub]], busca la imagen de ''ubuntu:latest'' y compara los resultados obtenidos con la información mostrada en Docker Hub**
+**6. Crea una imagen personalizada llamada ''ubuntu-updated'' tomando como imagen base ubuntu:latest y aplica las actualizaciones del sistema pertinentes.**
+Dockerfile:
+<code>
+FROM ubuntu:latest
+RUN apt-get update && apt-get upgrade
+RUN apt-get clean
+</code>
 **7. Repite los pasos 2, 3 y 4 sobre la imagen personalizada que acabamos de crear y analiza los resultados obtenidos. ¿Tenemos alguna posible solución para reducir las vulnerabilidades? En caso afirmativo, prueba a aplicar esa solución en una nueva imagen llamada ''ubuntu-updated-fixed'' y repite los paso 2, 3 y 4 sobre ella.**
-**8. Finalmente vamos a probar la opción de comparación (OJO: es una función experimental del comando docker scout).
+Al hacer:
+<code>
+docker scout recommendations ubuntu-updated
+</code>
+Nos dice:
+<code>
+Change base image
+  The list displays new recommended tags in descending order, where the top results are rated as most suitable.
+            Tag           │                        Details                         │   Pushed    │       Vulnerabilities
+──────────────────────────┼────────────────────────────────────────────────────────┼─────────────┼──────────────────────────────
+.10                  │ Benefits:                                              │ 6 days ago  │    0C     0H     0M     0L
+  Major OS version update │ • Image is smaller by 2.2 MB                           │             │                  -2    -12
+  Also known as:          │ • Image contains 18 fewer packages                     │             │
+  • mantic                │ • Tag was pushed more recently                         │             │
+  • rolling               │ • Image introduces no new vulnerability but removes 14 │             │
+  • mantic-20231011       │ • Major OS version update                              │             │
+                          │                                                        │             │
+                          │ Image details:                                         │             │
+                          │ • Size: 27 MB                                          │             │
+                          │ • OS: 23.10                                            │             │
+                          │                                                        │             │
+                          │                                                        │             │
+                          │                                                        │             │
+.04                  │ Benefits:                                              │ 2 weeks ago │    0C     0H     0M     6L
+  Major OS version update │ • Image is smaller by 2.5 MB                           │             │                  -2     -6
+  Also known as:          │ • Image contains 17 fewer packages                     │             │
+  • lunar                 │ • Image introduces no new vulnerability but removes 8  │             │
+  • lunar-20231004        │ • Major OS version update                              │             │
+                          │ • 23.04 was pulled 1.5M times last month               │             │
+                          │                                                        │             │
+                          │ Image details:                                         │             │
+                          │ • Size: 27 MB                                          │             │
+                          │ • Flavor: ubuntu                                       │             │
+                          │ • OS: 23.04                                            │             │
+</code>
+Vamos a hacer lo que nos sugiere y cambiar la imagen base por la ''ubuntu:23.10'':
+<code>
+FROM ubuntu:23.10
+RUN apt-get update && apt-get upgrade
+RUN apt-get clean
+</code>
+**8. Finalmente vamos a probar la opción de comparación (OJO: es una función experimental del comando ''docker scout'').**
 Primero vamos a comparar la imagen base de ubuntu:latest con nuestra imagen ''ubuntu-updated''
@@ Línea 114: / Línea 249: @@
 </code>
-A continuación, compararemos ubuntu:latest con ubuntu:23.10:
+Resultado (resumido>:
+<code>
+WARN 'docker scout compare' is experimental and its behaviour might change in the future
+    ✓ SBOM of image already cached, 143 packages indexed
+    ...Storing image for indexing
+    ✓ Image stored for indexing
+    ...Indexing
+    ✓ Indexed 143 packages
+  ## Overview
+                      │       Analyzed Image        │      Comparison Image
+  ────────────────────┼─────────────────────────────┼──────────────────────────────
+    Target            │  ubuntu:latest              │  ubuntu-updated:latest
+      digest          │  e4c58958181a               │  bec7ada07c12
+      platform        │ linux/amd64                 │ linux/amd64
+      vulnerabilities │    0C     0H     2M    12L  │    0C     0H     2M    12L
+                      │                             │
+      size            │ 34 MB (-32 MB)              │ 66 MB
+      packages        │ 143                         │ 143
+                      │                             │
+  ## Environment Variables
+      PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
+(...)
+  ## Packages and Vulnerabilities
+packages unchanged
+     Package              Type  Version                                  Compared Version
+     acl                  deb   2.3.1-1                                  2.3.1-1
+     adduser              deb   3.118ubuntu5                             3.118ubuntu5
+(...)
+</code>
+A continuación, compararemos ''ubuntu:latest'' con ''ubuntu:23.10'':
 <code>
@@ Línea 120: / Línea 300: @@
 </code>
-Analiza los resultados de ambos comandos.
+Resultado (resumido):
+<code>
+WARN 'docker scout compare' is experimental and its behaviour might change in the future
+    ✓ SBOM of image already cached, 143 packages indexed
+    ...Storing image for indexing
+    ✓ Image stored for indexing
+    ...Indexing
+    ✓ Indexed 125 packages
+  ## Overview
+                      │       Analyzed Image        │      Comparison Image
+  ────────────────────┼─────────────────────────────┼──────────────────────────────
+    Target            │  ubuntu:latest              │  ubuntu:23.10
+      digest          │  e4c58958181a               │  fe7a3960a97e
+      platform        │ linux/amd64                 │ linux/amd64
+      vulnerabilities │    0C     0H     2M    12L  │    0C     0H     0M     0L
+                      │                  +2    +12  │
+      size            │ 34 MB (+2.7 MB)             │ 31 MB
+      packages        │ 143 (+18)                   │ 125
+                      │                             │
+  ## Environment Variables
+(...)
+  ## Packages and Vulnerabilities
+    +   23 packages added
+    -    5 packages removed
+    ⎌  115 packages changed (↑ 0 upgraded, ↓ 115 downgraded)
+packages unchanged
+    + 14 vulnerabilities added
+     Package              Type  Version                                  Compared Version
+  ↓  acl                  deb   2.3.1-1                                  2.3.1-3
+  +  adduser              deb   3.118ubuntu5
+  ↓  apt                  deb   2.4.10                                   2.7.3
+  ↓  attr                 deb   1:2.5.1-1build1                          1:2.5.1-4
+(...)
+</code>
 ==== Trivy ====
-Si queremos hacer un examen más en profundidad podemos echar mano de la herramienta [[https://github.com/aquasecurity/trivy|Trivy]
+Si queremos hacer un examen más en profundidad podemos echar mano de la herramienta [[https://github.com/aquasecurity/trivy|Trivy]]
 A diferencia de Docker Scout, Trivy tiene un ámbito de funcionamiento mucho mayor. La podemos utilizar para detectar CVEs en imágenes de contenedores, pero también será capaz de detectar configuraciones potencialmente peligrosas y secretos así como analizar otros elementos como repositorios de código, sistemas de ficheros, maquinas
@@ Línea 132: / Línea 357: @@
 La herramienta Trivy se puede instalar como un script de sistema en diferentes plataformas, pero también tenemos la opción de usarla como un contenedor. Esta será la opción que vamos a utilizar en esta práctica.
 . Para poder utilizar Trivy y optimizar mejor el uso reiterado de la herramienta vamos a utilizar un bind para persistir la cache de la herramienta. Para ello creamos una carpeta que luego usaremos como volumen (También lo podemos hacer con un named volumen si lo preferimos)
@@ Línea 151: / Línea 375: @@
-. Compara los resultados obtenidos con Trivy y los obtenidos con Docker Scan. ¿Tenemos más o menos VCEs?
+**3. Compara los resultados obtenidos con Trivy y los obtenidos con Docker Scan. ¿Tenemos más o menos VCEs?**
+Resultado (resumido):
+<code>
+ubuntu:latest (ubuntu 22.04)
+============================
+Total: 23 (UNKNOWN: 0, LOW: 17, MEDIUM: 6, HIGH: 0, CRITICAL: 0)
+┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐
+│     Library      │ Vulnerability  │ Severity │  Status  │    Installed Version     │ Fixed Version │                            Title                            │
+├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+│ bash             │ CVE-2022-3715  │ LOW      │ affected │ 5.1-6ubuntu1             │               │ a heap-buffer-overflow in valid_parameter_transform         │
+│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-3715                   │
+├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+│ coreutils        │ CVE-2016-2781  │          │          │ 8.32-4.1ubuntu1          │               │ coreutils: Non-privileged session can escape to the parent  │
+│                  │                │          │          │                          │               │ session in chroot                                           │
+│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2016-2781                   │
+├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+</code>
+^ Vulnerabilidades ^ Docker Scout ^ Trivy ^
+| Unknown          |   x |  0 |
+| Low              |  12 |  17 |
+| Medium           |  2 |  6 |
+| High             |  0 |  0 |
+| Critical         |  0 |  0 |
+Con ''docker scout'' nos encontró 14 y con Trivy 23.