使用Docker Scout和Amazon ECR保护软件供应链(由Docker赞助)

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC105-S-Securing_the_software_supply_chain_with_Docker_Scout_and_Amazon_ECR__sponsored_by_Docker___Docker_-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 加入这个课程来学习如何通过实时漏洞识别、补救建议和持续政策评估来保护完整的软件供应链。了解 Docker Scout 如何与 Amazon ECR 集成,以及注册中心集成为什么对拥有一个完整、安全的软件供应链很关键,从内循环到生产环节,以 Scout 作为软件开发生命周期的记录系统。这个演示由 Docker 提供,Docker 是 亚马逊云科技 的合作伙伴。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者开始介绍其关于Docker Scout及其与Amazon ECR集成的主题。作为一位在Curve公司的资深软件工程师，他在过去5年里一直专注于CI/CD管道和后端服务。 演讲者首先解释了Docker Scout的概念及其所解决的问题。为了提供背景，他以制作一杯咖啡为例来说明软件供应链的概念。制作咖啡不仅需要咖啡豆，还需要咖啡机、水、盛放咖啡的杯子，以及豆子的运输和包装等环节。从种植到品尝，可能涉及数十道工序。 同样，构建现代软件应用程序所需的不仅仅是源代码，还包括诸如库和框架之类的依赖项，运行代码的基本镜像，用于构建工程的CI/CD管道，以及存储镜像的容器注册表等。可能有数百个组件构成了整个软件供应链。 供应链中的每个步骤都可能出现问题——咖啡豆可能被污染，包装可能有缺陷，供水中可能有杂质。将这些应用到软件上，过程中的任何一步都可能引入漏洞或错误。例如，基本镜像本身可能包含有漏洞的软件包。或者，您依赖树中深处的传递依赖可能存在安全漏洞。 这使得调试问题变得非常困难，因为问题的根源可能来自您的代码，直接依赖项，甚至可能是多个层级之外的传递依赖。演讲者强调，目前的供应链非常嘈杂，导致准确找到问题的根源变得非常困难。 为了解决这个问题，Docker Scout旨在提供对整个软件供应链的完整可见性，建立可信内容源，创建系统记录，并引入智能策略。通过结合这些功能，Docker Scout可以提供具体的修复建议，而不仅仅是指出问题。它还使您在迭代镜像时能够持续改进，而不仅仅是提供一次性快照视图。 Docker Scout与Docker的官方镜像程序紧密集成，以推广由Docker维护的可信基本镜像。此外，它还集成了经过Docker扫描和验证的Docker验证发布者镜像，从而共同建立一个可信赖的内容库。Docker Scout还维护一个集中的图形数据库，作为一个记录系统，用于存储图像层、包、依赖项等完整细节。这为用户提供了对其整个软件供应链前所未有的可见性。 最后，Docker Scout定义了灵活的策略，以编码管理图像的最佳实践。例如，一项政策可能要求关键漏洞在30天内修复。这提供了超出仅揭示漏洞的智能指导。 今年，Docker选择了与亚马逊ECR合作的原因在演讲中进行了详细解释。尽管许多用户将在ECR中构建和存储镜像，但供应链并不仅限于这一点。镜像可能基于来自Docker Hub或其他仓库的公共基本镜像。Docker Scout旨在提供对这些库的端到端可见性和安全性。目标是确保供应链的安全，而不是规定您使用的注册表。 在现场演示中，演讲者逐步展示了将Docker Scout与亚马逊ECR集成的过程。首先，他在亚马逊云科技帐户中设置了一个小型CloudFormation栈。此栈仅包含2个参数，并需要2分钟才能部署。它创建了ECR帐户和Docker Scout之间的链接，提供了接收新图像推送的通知的权限。接下来，他使用Dockerfile基于Alpine Linux构建了一个简单的Docker镜像，并将其推到他的ECR库中。在推送镜像时，他使用了--build-arg标志来捕获诸如所使用的确切基础镜像数字等起源信息。他强调，这代表了典型的工作流程——开发者不应必须改变构建和推送镜像的方式。 在将镜像推送至亚马逊的ECR（亚马逊弹性容器注册表）之后，他向观众展示了Docker Scout如何能够自动检测新镜像并根据事件进行通知。在Docker Scout的仪表板上，他详细讲解了如何分析镜像层并找出2021年3月的Alpine v3.14基础镜像中的3个关键漏洞和16个高度严重的漏洞。 接着，他展示了Docker Scout的另一个重要功能——智能镜像优化策略。这个策略不仅揭示漏洞，还为解决这些问题提供了规范的解决方案建议。在这个例子中，它建议将过时的v3.14 Alpine基础镜像更新到2022年10月发布且无漏洞的最新v3.18版本。 遵循Docker Scout的建议，他将旧的基础镜像更新为新版本的Alpine v3.18，并对其样本镜像进行了重新构建。通过对比两个版本的镜像，可以清晰地看到所有已修复的漏洞，包括2个关键漏洞和16个高度严重漏洞。经过验证，基本镜像的更新确实显著改善了整体的安全性。 总的来说，演讲者展示了Docker Scout如何与现有工作流程无缝集成，以提供对整个软件供应链的空前可见性，智能的镜像优化建议以及持续的安全监控，同时开发者构建和推送镜像的方式无需做出任何改变。 通过与亚马逊ECR的集成，整个供应链中的端到端安全性得以实现，包括私有的ECR注册表以及诸如Docker Hub之类的公共注册表。这对于那些在使用开发、临时和生产等混合仓库的公司来说尤为重要。 他最终以提供文档链接作为结尾，并表示Docker在会议结束后将在展位上回答任何问题。要获取主要资源和文档，请访问docs.docker.com上的Docker Scout文档门户，那里有关于供应链安全和开始使用的指南。 **下面是一些演讲现场的精彩瞬间：** 供应链问题可能涉及众多因素，这些相互依赖的问题可能导致根本原因的识别变得困难。  亚马逊云科技建立了庞大的数据系统来存储供应链相关数据，这有助于更清晰地理解并实施有效的策略，从而提高开发者的用户体验。  虽然账户间的集成已经实现，但图像处理仍在选择仓库之前等待完成。  亚马逊云科技提供了关于容器图像的背景信息，以协助开发者调试和更新其应用程序。  领导层讨论了如何通过逐步改进来减少亚马逊云科技图像中存在的潜在安全漏洞。  领导层对文档团队为用户提供丰富学习资源表示赞赏，他们为此付出了巨大努力。  ## 总结 演讲者详细阐述了Docker Scout如何通过对漏洞的可见性来提高软件供应链的安全性。由于软件供应链错综复杂且依赖于多个来源，因此确定漏洞的根本原因往往相当困难。 Docker Scout打造了一个集中式的系统，用于追踪所有的依赖项。该系统与诸如Amazon ECR之类的注册表相集成，以便监控镜像。一旦检测到漏洞，它将提供具体的修复建议。例如，它可以推荐将基本图像更新至已经解决了已知问题的更安全版本。 演讲者展示了一个关于如何使用ECR构建带有漏洞的示例图像的案例研究。Docker Scout检测到了问题，并建议更新Alpine基础图像，这将消除超过20个漏洞。在重新构建图像之后，Docker Scout会验证关键漏洞是否已被成功修复。 总之，Docker Scout与现有的基础设施相结合，为开发者提供了持续改进供应链安全性的可视化和建议。通过集中化的追踪和分析，它能够简化在复杂的依赖项中修复漏洞的过程。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")