Всем привет. На время я немного пропал с радаров и почти не писал посты. Но причина была более чем рабочая — всё это время мы с командой Digital Shield заканчивали новый проект, и теперь я уже могу спокойно его показать.

Речь про Docker Analyzer: ➥ https://github.com/eZer-Net/docker-analyzer

Пока это alpha-версия, но уже в том виде, в котором можно потрогать саму идею, посмотреть на workflow и понять, в какую сторону мы двигаемся.

━━━━━━━━━━ Зачем вообще появился этот проект ━━━━━━━━━━

Когда работаешь с безопасностью Docker-образов, довольно быстро упираешься в одни и те же проблемы: • сканер отдаёт сырой список уязвимостей • уязвимостей много • образов может быть несколько • контекст теряется • а ответ на главный вопрос “можно ли это пропускать дальше?” всё равно остаётся на человеке

Именно здесь нам и захотелось сделать более структурный подход. Не просто “ещё один скан”, а рабочее пространство, в котором можно связать: • что именно сканировали • по какому шаблону оценивали • какие CWE нашлись • что попало под политику • и какой итоговый вердикт мы получаем по анализу

━━━━━━━━━━ Как это работает ━━━━━━━━━━

Если совсем коротко, внутри проекта реализован фиксированный pipeline: • Выбор шаблона или создание своего собственного • Список докеров через image@digests • Сканирование целей • Сопоставление уязвимостей с CWE • Итоговый отчёт

То есть мы не просто смотрим на CVE как на набор чисел, а стараемся привязать найденные проблемы к более понятной логике через CWE.

И вот этот момент для меня один из самых важных. CWE в реальной работе очень часто недооценивают. После обучения про него многие либо забывают, либо почти не используют на практике. А зря. Через CWE уже гораздо проще не просто смотреть на “список уязвимостей”, а объяснять, почему конкретный образ выглядит приемлемо или неприемлемо с точки зрения безопасности.

CWE (Common Weakness Enumeration) это идентифицированный список всех уязвимостей.

━━━━━━━━━━ Что дальше ━━━━━━━━━━

Сейчас это именно первый публичный alpha-релиз, и дальше там ещё будет изменения в визуале, архитектуре, ... Но главное уже есть: сама идея работает, продукт можно поднять локально, посмотреть на его процесс работы и начать давать по нему обратную связь.

Так что если вам интересна тема анализа Docker-образов, security gates и принятия решений по уязвимостям не только “на глаз”, то буду рад, если посмотрите проект ➥ https://github.com/eZer-Net/docker-analyzer

#AppSec #DevSecOps #Docker #ContainerSecurity #CWE #CyberSecurity #OpenSource #DigitalShield