原称Nautilus项目的Docker安全扫描，如今已可作为容器安全提升器使用了。

　　Docker公司2015年11月DockerCon欧洲大会上放出的几条重磅好料中，就有用以扫描Docker资源库安全漏洞的Nautilus项目。如今，6个月过去了，该公司以Docker安全扫描这一产品名，让Nautilus项目切实可用了。而且，该新安全产品还作为更新补充到了 Docker Bench 这个容器安全工具最佳实践中，进一步改善了Docker的整体安全工具配备。

　　Docker安全总监内森·麦考利说：“DockerCon上宣布的，只是将Nautilus用到Docker官方资源库上，并没有结合端到端软件供应链的工作流。”

　　目前，Docker云私有资源库用户可在限定的免费试用期里使用Docker安全扫描。当然，最终所有的Docker云资源库用户都可以使用它。费用不高，作为私有资源库插件服务的话，每个库2美元起。Docker安全扫描还可以作为Docker公司2月首发的主线商业产品Docker数据中心的集成功能使用。

　　Docker安全扫描的目标，是帮助开发者和企业找到Docker容器镜像中的已知漏洞。Docker Hub 资源库中所有官方镜像的容器镜像都已应用上了Docker安全扫描。如今的全面铺开，让Docker云订阅用户也可以扫描他们的私有资源库了。

　　之前，IT运营不得不依赖于每个独立软件供应商(ISV)提供的信息来了解他们的内容状态，也必须主动监测通用漏洞披露(CVE)来获悉漏洞情况。Docker安全扫描则通过对Docker镜像自身的静态分析扫描，生成一份材料清单，找出已知CVE。Docker安全扫描目前只针对有CVE的已知漏洞，针对Docker容器镜像的潜在未知漏洞动态扫描是没有的。Docker公司的竞争对手CoreOS也有个类似的项目，名为Clair，3月份更新到了1.0版本。

　　已知漏洞自然是风险因素，已知的错误配置问题同样也是。Docker Bench 工具就是用来解决错误配置问题的。1年前，互联网安全中心(CIS)发布了一份Docker部署安全最佳实践基准报告，与此同时，Docker Bench 首次出现在人前。最初的这份CIS报告几乎是伴随着 Docker 1.6 版发布的，而现在，新一期CIS基准公布，其中更新了 Docker 1.11 的情况。新报告中加进了对上个版本之后推出的一些新特性的推荐。

　　用户命名空间、授权插件的使用等，都在推荐范围内。另外，建议对像seccomp之类的新隔离功能进行禁用检查。

　　Docker Bench 和Docker安全扫描负责保护Docker基础设施安全的不同方面。Docker Bench 可以对Docker主机设置进行扫描。

　　Docker安全扫描则可以检测Docker容器镜像自身，让用户知道他们的容器镜像里是否存在已知的脆弱软件。

　　责任编辑：DJ编辑