使用JFrog Xray保护OpenShift上的容器化微服务

在我们以前的博客，我们描述了JFrog Artifactory在部署时使企业用户受益集装箱microservices．现在我们将进一步回顾主要的安全挑战面向容器内容和容器注册中心在开发微服务时。我们将继续讨论在OpenShift上构建和部署容器时如何执行策略。

让我们回顾一个场景，其中许多微服务运行在OpenShift的不同节点、项目和区域上。这些微服务运行在pod上，包括主容器、副容器和短期初始容器。这些容器可以包括rpm包、Maven包、npm包等。

现在让我们假设三个新的安全问题刚刚被公开，并且CVSS得分很高。这是你需要问的三个最重要的问题?

1. 由于新的安全问题，有多少微服务受到了影响?
2. 我们如何跟踪产生易受攻击的二进制文件(JAR文件，WAR文件，npm包，Docker映像)的CI作业?
3. 我们如何防止这些易受攻击的微服务在OpenShift上的部署所造成的损害?防止构建依赖于这些脆弱组件的额外微服务?

好消息是，我们可以得到所有这些问题的答案JFrog x光并利用它与Artifactory和CI工具的集成。

通过Xray集成，解析的依赖项、提升的工件和提升的构建都是基于与工件和构建相关联的元数据兼容的。元数据包括安全问题、许可证、质量等。

1.影响分析:评估受影响微服务的数量

Xray分析一个组件中的问题如何影响公司中的所有其他组件，并显示组件图中的影响链．当检测到漏洞时，Xray会向您显示包含受感染工件的所有微服务，以便您可以立即了解任何易受攻击层对系统中所有微服务的影响．

2.CI工作:易受攻击的二进制文件的生产者

JFrog Xray可以访问从人工和持续集成工具，如Jenkins．这些元数据与深度递归扫描相结合，使Xray处于一个独特的位置，可以分析易受攻击的工件与负责生成这些工件的CI作业之间的关系。

上图显示x射线冲击分析，结果如下:

• Apache Struts (struts2-core-2.3.14.jar”文件)感染了一个严重漏洞，并且是许多战争文件("ROOT.war””,webservice-1.1.2.war”）.
• x射线已经确定了CI作业。step1-create-application-war-file和CI作业号7负责构建“ROOT”。战争”文件。
• “根”。war "文件也是Docker镜像层的一部分，由多个Docker manifest文件引用，例如"docker-app:最新"和"docker-app: 11”。
• Xray甚至报告了负责生成易受攻击的Docker映像的CI作业，其中包括包含“Apache Struts”感染文件的易受攻击的WAR文件。

3.防止漏洞在微服务中传播

您可以在多个级别上执行Xray中的策略。例如，在OpenShift上部署容器化微服务时，以及在OpenShift上构建容器化微服务时

还可以根据存储库类型(开发或生产)实施不同类型的策略。例如，如果将严重性设置为critical，则可以阻止用户下载开发和生产存储库中不同文件类型(Docker映像、JAR文件或npm包)的易受攻击的工件。这些策略可以防止部署易受攻击的微服务，因为一旦检测到漏洞，部署就会失败。为了帮助控制损害，可以将CI集成、安全性或许可证扫描作为构建的一部分触发，从而允许您失败构建作业并防止构建易受攻击的微服务。

在Openshift上安装JFrog Xray

我们通过提供以下功能，使您可以轻松地在Openshift上安装Xray一组模板．一旦安装了Xray，你就可以看到OpenShift上运行着8个微服务。