Diferencias

Muestra las diferencias entre dos versiones de la página.

--- informatica:sistemas_operativos:cursos:docker_avanzado:distribucion_de_imagenes [2023/10/18 18:01] – tempwin
+++ informatica:sistemas_operativos:cursos:docker_avanzado:distribucion_de_imagenes [2023/10/18 18:30] (actual) – [Caso práctico] tempwin
@@ Línea 185: / Línea 185: @@
 <code>
 FROM ubuntu:latest
-RUN apt-get update && apt-get -y dist-upgrade
+RUN apt-get update && apt-get upgrade
 RUN apt-get clean
 </code>
@@ Línea 237: / Línea 237: @@
 FROM ubuntu:23.10
-RUN apt-get update && apt-get -y dist-upgrade
+RUN apt-get update && apt-get upgrade
 RUN apt-get clean
 </code>
-**8. Finalmente vamos a probar la opción de comparación (OJO: es una función experimental del comando docker scout).
+**8. Finalmente vamos a probar la opción de comparación (OJO: es una función experimental del comando ''docker scout'').**
 Primero vamos a comparar la imagen base de ubuntu:latest con nuestra imagen ''ubuntu-updated''
@@ Línea 249: / Línea 249: @@
 </code>
-A continuación, compararemos ubuntu:latest con ubuntu:23.10:
+Resultado (resumido>:
+<code>
+WARN 'docker scout compare' is experimental and its behaviour might change in the future
+    ✓ SBOM of image already cached, 143 packages indexed
+    ...Storing image for indexing
+    ✓ Image stored for indexing
+    ...Indexing
+    ✓ Indexed 143 packages
+  ## Overview
+                      │       Analyzed Image        │      Comparison Image
+  ────────────────────┼─────────────────────────────┼──────────────────────────────
+    Target            │  ubuntu:latest              │  ubuntu-updated:latest
+      digest          │  e4c58958181a               │  bec7ada07c12
+      platform        │ linux/amd64                 │ linux/amd64
+      vulnerabilities │    0C     0H     2M    12L  │    0C     0H     2M    12L
+                      │                             │
+      size            │ 34 MB (-32 MB)              │ 66 MB
+      packages        │ 143                         │ 143
+                      │                             │
+  ## Environment Variables
+      PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
+(...)
+  ## Packages and Vulnerabilities
+packages unchanged
+     Package              Type  Version                                  Compared Version
+     acl                  deb   2.3.1-1                                  2.3.1-1
+     adduser              deb   3.118ubuntu5                             3.118ubuntu5
+(...)
+</code>
+A continuación, compararemos ''ubuntu:latest'' con ''ubuntu:23.10'':
 <code>
@@ Línea 255: / Línea 300: @@
 </code>
-Analiza los resultados de ambos comandos.
+Resultado (resumido):
+<code>
+WARN 'docker scout compare' is experimental and its behaviour might change in the future
+    ✓ SBOM of image already cached, 143 packages indexed
+    ...Storing image for indexing
+    ✓ Image stored for indexing
+    ...Indexing
+    ✓ Indexed 125 packages
+  ## Overview
+                      │       Analyzed Image        │      Comparison Image
+  ────────────────────┼─────────────────────────────┼──────────────────────────────
+    Target            │  ubuntu:latest              │  ubuntu:23.10
+      digest          │  e4c58958181a               │  fe7a3960a97e
+      platform        │ linux/amd64                 │ linux/amd64
+      vulnerabilities │    0C     0H     2M    12L  │    0C     0H     0M     0L
+                      │                  +2    +12  │
+      size            │ 34 MB (+2.7 MB)             │ 31 MB
+      packages        │ 143 (+18)                   │ 125
+                      │                             │
+  ## Environment Variables
+(...)
+  ## Packages and Vulnerabilities
+    +   23 packages added
+    -    5 packages removed
+    ⎌  115 packages changed (↑ 0 upgraded, ↓ 115 downgraded)
+packages unchanged
+    + 14 vulnerabilities added
+     Package              Type  Version                                  Compared Version
+  ↓  acl                  deb   2.3.1-1                                  2.3.1-3
+  +  adduser              deb   3.118ubuntu5
+  ↓  apt                  deb   2.4.10                                   2.7.3
+  ↓  attr                 deb   1:2.5.1-1build1                          1:2.5.1-4
+(...)
+</code>
 ==== Trivy ====
-Si queremos hacer un examen más en profundidad podemos echar mano de la herramienta [[https://github.com/aquasecurity/trivy|Trivy]
+Si queremos hacer un examen más en profundidad podemos echar mano de la herramienta [[https://github.com/aquasecurity/trivy|Trivy]]
 A diferencia de Docker Scout, Trivy tiene un ámbito de funcionamiento mucho mayor. La podemos utilizar para detectar CVEs en imágenes de contenedores, pero también será capaz de detectar configuraciones potencialmente peligrosas y secretos así como analizar otros elementos como repositorios de código, sistemas de ficheros, maquinas
@@ Línea 267: / Línea 357: @@
 La herramienta Trivy se puede instalar como un script de sistema en diferentes plataformas, pero también tenemos la opción de usarla como un contenedor. Esta será la opción que vamos a utilizar en esta práctica.
 . Para poder utilizar Trivy y optimizar mejor el uso reiterado de la herramienta vamos a utilizar un bind para persistir la cache de la herramienta. Para ello creamos una carpeta que luego usaremos como volumen (También lo podemos hacer con un named volumen si lo preferimos)
@@ Línea 286: / Línea 375: @@
-. Compara los resultados obtenidos con Trivy y los obtenidos con Docker Scan. ¿Tenemos más o menos VCEs?
+**3. Compara los resultados obtenidos con Trivy y los obtenidos con Docker Scan. ¿Tenemos más o menos VCEs?**
+Resultado (resumido):
+<code>
+ubuntu:latest (ubuntu 22.04)
+============================
+Total: 23 (UNKNOWN: 0, LOW: 17, MEDIUM: 6, HIGH: 0, CRITICAL: 0)
+┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐
+│     Library      │ Vulnerability  │ Severity │  Status  │    Installed Version     │ Fixed Version │                            Title                            │
+├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+│ bash             │ CVE-2022-3715  │ LOW      │ affected │ 5.1-6ubuntu1             │               │ a heap-buffer-overflow in valid_parameter_transform         │
+│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-3715                   │
+├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+│ coreutils        │ CVE-2016-2781  │          │          │ 8.32-4.1ubuntu1          │               │ coreutils: Non-privileged session can escape to the parent  │
+│                  │                │          │          │                          │               │ session in chroot                                           │
+│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2016-2781                   │
+├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+</code>
+^ Vulnerabilidades ^ Docker Scout ^ Trivy ^
+| Unknown          |   x |  0 |
+| Low              |  12 |  17 |
+| Medium           |  2 |  6 |
+| High             |  0 |  0 |
+| Critical         |  0 |  0 |
+Con ''docker scout'' nos encontró 14 y con Trivy 23.