开源项目 | 17款云原生安全相干的扫描和平台类开源工具 ...

“ 随着云计算技能的不断发展，越来越多的企业开始将应用步伐和数据存储到云上。然而，云安全问题也随之而来，因此，开源云原生安全工具的需求也越来越大。在本文中，我们将先容一些流行的开源云原生安全工具，以帮助企业更好地掩护其云情况。”
目次
01 容器安全扫描Trivy 17.3k stars
02 容器毛病分析工具Clair 9.5k stars
03 计谋引擎Open Policy Agent (OPA) 8k stars
04 K8S基线核查kube-bench 5.8k stars
05云监控Falco 5.8k stars
06 容器镜像扫描Grype 5.7k stars
07 K8S毛病扫描kube-hunter 4.2k stars
08 容器镜像扫描Syft 4.1k stars
09 容器毛病利用工具CDK 3k stars
10 安全和合规检测InSpec 2.7k stars
11 容器安全检测工具veinmind-tools 1.2k stars
12 云原生攻防靶场Metarget 802 stars
13 安全平台Cilium 15.3k stars
14 安全平台Sysdig 7.3k stars
15 安全平台Anchore 1.5k stars
16 安全平台NeuVector 760 stars
17 容器逃逸检测工具container-escape-check 332 stars

---

以Docker+K8s为代表的容器技能得到了越来越广泛的应用，从安全攻防的角度，攻击者已经不再满意于容器逃逸，进而攻击整个容器编排平台，如果可以拿下集群管理员权限，其效果不亚于域控失陷。
官网地点：http://www.mdrsec.com
云原生存算情况安全产品适应云上主机、容器、应急响应和取证等计算情况新安全需求，数据安全分类管理、数据安全审计、敏感数据处理、密钥管理系统、凭据管理系统等云原生数据安全产品保障云上数据安全可靠，DDoS防护、云防火墙、Web应用防火墙等云原生网络安全产品有用抵抗云上网络威胁，安全运营中心等云原生安全管理产品应对云上安全管理新挑战，原生托管安全服务等云原生安全服务缓解云上安全运营痛点。

在前面的 总结19个Go语言日常开辟中使用到的热门开源项目 文章中也涉及到大部门的关于云原生相干的开源情况，详情可以点击参考。

在云原生安全攻防的场景下，甲乙攻防双方对于安全工具的关注点也不一样。本文试图收集一些开源的云原生安全工具，带你一起去相识云原生安全。后面的文章将分别先容下各自的使用方法。

01 容器安全扫描Trivy 17.3k stars

Trivy是一款轻量级的容器镜像毛病扫描器，可以扫描Docker和OCI容器镜像中的毛病并提供毛病报告。其主要作用是帮助企业在构建和摆设容器镜像时检测和修复毛病，以进步容器情况的安全性。

Trivy的工作原理如下：
- Trivy通过与Docker Registry交互获取Docker镜像的元数据和文件系统层信息。
- Trivy使用毛病数据库中的毛病特性形貌来匹配Docker镜像中的软件包和库，以识别毛病。
- Trivy将毛病信息和镜像元数据存储在当地缓存中，并提供CLI和API接供词用户查询和管理毛病报告。

github地点：https://github.com/aquasecurity/trivy

02 容器毛病分析工具Clair 9.5k stars

Clair是一款开源的容器毛病扫描工具，旨在帮助企业识别其容器镜像中的毛病。Clair可以与Docker Registry集成，并根据预定义的规则扫描容器镜像中的毛病。Clair可以帮助企业识别潜伏的安全问题，并根据扫描结果采取相应的措施加强其容器情况的安全性。

可以扫描Docker镜像中的毛病并提供毛病报告。其主要作用是帮助企业识别和修复容器镜像中的毛病，以进步容器情况的安全性。

Clair的工作原理如下：
- Clair通过与Docker Registry交互获取Docker镜像的元数据和文件系统层信息。
- Clair使用毛病数据库中的毛病特性形貌来匹配Docker镜像中的软件包和库来检测毛病，以识别潜伏的安全问题。
- Clair将毛病信息和镜像元数据存储在数据库中，并提供API接口和Web界面供用户查询和管理毛病报告。

github地点：https://github.com/quay/clair

03 计谋引擎Open Policy Agent (OPA) 8k stars

一款开源的计谋引擎，用于管理和强制实验云原生应用步伐中的计谋。OPA可以帮助企业定义和实施安全计谋，以确保应用步伐和基础办法的安全性和合规性。

作用：
Open Policy Agent（OPA）是一款开源的计谋引擎，可以帮助企业实现统一的访问控制计谋管理。OPA可以与各种应用步伐和服务集成，实现对用户、服务和数据访问的细粒度控制。OPA可以帮助企业实现安全的访问控制，防止未经授权的访问和数据泄露。

原理：
OPA的原理是基于声明式语言Rego，Rego是一种轻量级的计谋语言，可以形貌访问控制计谋。OPA使用Rego编写的计谋可以与各种应用步伐和服务集成，实现对用户、服务和数据访问的细粒度控制。

OPA的工作流程如下：
1）应用步伐或服务向OPA发起访问请求。
2）OPA根据访问请求和预定义的计谋规则，判定该请求是否合法。
3）如果请求合法，OPA返回允许访问的结果；如果请求不合法，OPA返回拒绝访问的结果。

OPA还支持与Kubernetes、Envoy等工具集成，可以方便地管理和监控访问控制计谋。

开源地点：https://github.com/open-policy-agent/opa

04 K8S基线核查kube-bench 5.8k stars

kube-bench是一款开源的Kubernetes基线核查工具，可以检查Kubernetes集群的安全设置是否符合基线标准，并提供修复建议。其主要作用是帮助企业评估和进步Kubernetes集群的安全性。

kube-bench的工作原理如下：
- kube-bench使用基线标准来评估Kubernetes集群的安全设置，包括节点、网络、授权等方面。
- kube-bench通过实验一系列的检查项来评估集群的安全设置，包括检查节点的安全设置、检查网络的安全设置、检查授权的安全设置等。
- kube-bench将检查结果汇总为报告，提供给用户参考和修复建议。

github地点：https://github.com/aquasecurity/kube-bench

05云监控Falco 5.8k stars

一款云原生安全工具，用于监控容器、主机和应用步伐，以检测和预防安全事件。Falco可以在运行时检测到潜伏的安全威胁，如恶意历程、不安全的设置和未经授权的访问等。

作用：
Falco是一款云原生安全工具，可以监控和检测容器运行时的安全事件。Falco通过监控系统调用和容器事件，实时检测容器情况中的异常举动和安全威胁，并发出警报和关照。Falco可以帮助企业实时发现和处理安全事件，进步容器情况的安全性。

原理：
Falco的原理是基于Linux内核提供的系统调用追踪机制，通过在内核中注册一个事件处理步伐，监控和捕获系统调用和容器事件。Falco使用了一个规则引擎来检测系统调用和容器事件，并将检测结果输出到日志文件或其他关照方式中。

Falco的规则引擎是基于Lua编写的，可以根据具体的需求编写自定义规则。Falco还支持与Kubernetes、Prometheus等工具集成，可以方便地管理和监控容器情况的安全。

开源地点：https://github.com/falcosecurity/falco
云原生&容器专栏：
https://blog.csdn.net/zhouruifu2015/category_5704941

06 容器镜像扫描Grype 5.7k stars

Grype是一款开源的容器镜像扫描工具，可以扫描Docker和OCI容器镜像中的软件包和库，并提供毛病报告和依赖关系分析。其主要作用是帮助企业识别和修复容器镜像中的毛病，以及相识镜像中的软件组件和依赖关系。

Grype的工作原理如下：
- Grype通过与Docker Registry交互获取Docker镜像的元数据和文件系统层信息。
- Grype使用软件包管理器的元数据来识别Docker镜像中的软件包和库，以生成镜像的软件清单和依赖关系。
- Grype使用毛病数据库中的毛病特性形貌来匹配镜像中的软件包和库，以识别毛病。

github地点：https://github.com/anchore/grype

07 K8S毛病扫描kube-hunter 4.2k stars

kube-hunter是一款开源的Kubernetes集群安全扫描工具，可以通过主动探测集群中的毛病和弱点来帮助用户识别和修复安全风险。其主要作用是帮助企业发现和修复Kubernetes集群中的安全毛病和弱点，以进步集群的安全性。

kube-hunter的工作原理如下：
- kube-hunter使用主动探测技能来发现Kubernetes集群中的毛病和弱点，包括未授权访问、容器逃逸、敏感信息泄露等。
- kube-hunter通过在集群中摆设一个特别的容器，来模拟攻击者的举动，以探测集群中的安全毛病和弱点。
- kube-hunter将探测结果汇总为报告，提供给用户参考和修复建议。

github地点：https://github.com/aquasecurity/kube-hunter

08 容器镜像扫描Syft 4.1k stars

Syft是一款开源的容器镜像扫描工具，可以扫描Docker和OCI容器镜像中的软件包和库，并提供镜像的软件清单和毛病报告。其主要作用是帮助企业相识容器镜像中的软件组件和依赖关系，以及识别和修复毛病。

Syft的工作原理如下：
- Syft通过与Docker Registry交互获取Docker镜像的元数据和文件系统层信息。
- Syft使用软件包管理器的元数据来识别Docker镜像中的软件包和库，以生成镜像的软件清单。
- Syft使用毛病数据库中的毛病特性形貌来匹配镜像中的软件包和库，以识别毛病。

github地点：https://github.com/anchore/syft

09 容器毛病利用工具CDK 3k stars

CDK是一款容器毛病利用工具，旨在帮助企业测试其容器情况的安全性。CDK可以自动化实验常见的容器毛病利用攻击，如容器逃逸、容器内部网络扫描等。CDK可以帮助企业测试其容器情况的安全性，并识别潜伏的安全问题。

CDK的原理是通过自动化实验常见的容器毛病利用攻击来测试企业的容器情况的安全性。CDK可以实验多种毛病利用攻击，如容器逃逸、容器内部网络扫描等。企业可以使用CDK测试其容器情况的安全性，并根据测试结果改进其安全计谋。

github地点：https://github.com/cdk-team/CDK

10 安全和合规检测InSpec 2.7k stars

一款开源的安全和合规性自动化工具，用于检查基础办法和应用步伐的安全性和合规性。InSpec可以帮助企业定义和实施安全计谋，以确保基础办法和应用步伐的安全性和合规性。


作用：
InSpec是一款开源的安全和合规检测工具，可以帮助企业检测和管理系统和应用步伐的安全和合规性。InSpec可以对系统和应用步伐进行扫描和分析，检测此中的安全问题和合规性问题。InSpec还可以根据用户定义的计谋和规则，实现自动化的安全检测和合规性检查。

原理：
InSpec的原理是基于声明式语言Ruby和测试驱动开辟（TDD）方法。InSpec使用Ruby编写测试脚本，测试脚本可以形貌系统和应用步伐的安全和合规性要求。InSpec通过实验测试脚本，对系统和应用步伐进行扫描和分析，检测此中的安全问题和合规性问题。

InSpec还可以与CI/CD工具集成，可以在CI/CD流程中自动化地检测和管理系统和应用步伐的安全和合规性。InSpec还提供了REST API和CLI工具，方便用户进行安全和合规性检测。

开源地点：https://github.com/inspec/inspec
云原生&容器专栏：
https://blog.csdn.net/zhouruifu2015/category_5704941

11 容器安全检测工具veinmind-tools 1.2k stars

veinmind-tools是一款容器安全检测工具，旨在帮助企业识别其容器情况中的安全问题。veinmind-tools可以检测容器中的毛病、设置错误和安全风险等。veinmind-tools可以帮助企业识别潜伏的安全问题，并采取相应的措施加强其容器情况的安全性。

veinmind-tools的原理是通过检测容器中的毛病、设置错误和安全风险等来识别潜伏的安全问题。veinmind-tools可以检测容器中的多种安全问题，并提供详细的报告和建议。企业可以使用veinmind-tools识别其容器情况中的安全问题，并根据检测结果改进其安全计谋。

github地点：https://github.com/chaitin/veinmind-tools

12 云原生攻防靶场Metarget 802 stars

Metarget是一款云原生攻防靶场，旨在帮助企业测试和进步其云原生情况的安全性。Metarget提供了多种攻击场景和毛病利用工具，如容器逃逸、Kubernetes集群毛病等。企业可以使用Metarget测试其云情况的安全性，并根据测试结果改进其安全计谋。

Metarget的原理是通过模拟真实的攻击场景和毛病利用工具来测试企业的云情况安全性。Metarget提供了多种攻击场景和毛病利用工具，如容器逃逸、Kubernetes集群毛病等。企业可以使用这些工具来模拟真实的攻击场景，并测试其云情况的安全性。

github地点：https://github.com/Metarget/metarget

13 安全平台Cilium 15.3k stars

一款开源的网络安全平台，用于掩护容器和云原生应用步伐的网络通讯。Cilium可以帮助企业实现微服务级别的网络安全，以防止网络攻击和数据泄露。

作用：
Cilium是一款开源的容器网络安全平台，可以帮助企业掩护容器网络的安全。Cilium可以实现对容器网络的细粒度访问控制和安全计谋管理，防止未经授权的访问和攻击。Cilium还可以提供网络流量监控、审计和日志功能，帮助用户相识容器网络中的安全事件和举动。

原理：
Cilium的原理是基于Linux内核提供的eBPF技能和网络安全计谋管理。Cilium使用eBPF技能来对容器网络进行监控和管理，eBPF可以在内核层面拦截和处理网络流量，实现对网络流量的实时监控和控制。Cilium还使用了一种名为“Service Identity and Authorization Management（SIAM）”的安全计谋管理机制，可以实现对容器网络中的服务和用户的细粒度访问控制。

Cilium还支持与Kubernetes、Envoy等工具集成，可以方便地管理和监控容器网络的安全。Cilium还提供了网络流量监控、审计和日志功能，帮助用户相识容器网络中的安全事件和举动。

开源地点：https://github.com/cilium/cilium

14 安全平台Sysdig 7.3k stars

一款云原生安全平台，用于监控和掩护容器和云原生应用步伐。Sysdig可以帮助企业检测和预防安全事件，如恶意历程、毛病利用和未经授权的访问等。

作用：
Sysdig是一款云原生安全平台，可以帮助企业监控和掩护容器情况的安全。Sysdig可以实时监控容器运行时的举动，检测并防止恶意攻击、数据泄露等安全事件。Sysdig还可以提供容器镜像扫描、毛病管理、合规性检查等功能，帮助企业进步容器情况的安全性。

原理：
Sysdig的原理是基于内核模块和系统调用追踪机制。Sysdig通过在内核中注册一个事件处理步伐，监控和捕获系统调用和容器事件。Sysdig使用了一个规则引擎来检测系统调用和容器事件，并将检测结果输出到日志文件或其他关照方式中。

Sysdig的规则引擎是基于Falco的规则引擎开辟的，可以根据具体的需求编写自定义规则。Sysdig还支持与Kubernetes、Prometheus等工具集成，可以方便地管理和监控容器情况的安全。Sysdig还提供了容器镜像扫描、毛病管理、合规性检查等功能，帮助企业进步容器情况的安全性。

开源地点：https://github.com/draios/sysdig

15 安全平台Anchore 1.5k stars

一款开源的容器安全平台，用于检测和预防容器镜像中的毛病和安全威胁。Anchore可以帮助企业在构建和摆设容器镜像时检测和修复毛病，以进步容器情况的安全性。

作用：
Anchore是一款开源的容器安全平台，可以帮助企业检测和管理容器镜像的安全性。Anchore可以对容器镜像进行扫描和分析，检测此中的毛病、恶意软件、设置错误等安全问题。Anchore还可以与CI/CD工具集成，实现自动化的安全检测和镜像管理。

原理：
Anchore的原理是基于容器镜像分析和静态分析技能。Anchore使用了一个规则引擎来检测容器镜像中的安全问题，规则引擎可以根据用户定义的规则和计谋来检测镜像中的毛病、恶意软件、设置错误等问题。Anchore还可以对镜像进行毛病扫描、软件组件分析等操纵，帮助用户相识镜像中所包含的软件组件和版本信息。

Anchore还支持与CI/CD工具集成，可以在CI/CD流程中自动化地检测和管理容器镜像。Anchore还提供了REST API和CLI工具，方便用户进行镜像管理和安全检测。

开源地点：https://github.com/anchore/anchore-engine

16 安全平台NeuVector 760 stars

NeuVector是一款容器安全平台，可以提供全方位的容器安全掩护，包括容器镜像扫描、运行时防御、网络安全等方面。其主要作用是帮助企业掩护容器情况的安全性，防止恶意攻击和数据泄露。

NeuVector的工作原理如下：
- NeuVector使用容器镜像扫描技能来检测镜像中的毛病和恶意软件，以保证镜像的安全性。
- NeuVector使用运行时防御技能来监控容器的举动，以检测和防止恶意攻击和数据泄露。
- NeuVector使用网络安全技能来检测和防止网络攻击，包括DDoS攻击、端口扫描、流量嗅探等。
- NeuVector提供了可视化的管理界面和报告，方便用户管理和查看容器情况的安全状态。

github地点：https://github.com/neuvector/neuvector

17 容器逃逸检测工具container-escape-check 332 stars

container-escape-check是一款容器逃逸检测工具，旨在帮助企业识别其容器情况中的安全问题。container-escape-check可以检测容器中的逃逸毛病，如容器内核毛病、容器文件系统毛病等。container-escape-check可以帮助企业识别潜伏的安全问题，并采取相应的措施加强其容器情况的安全性。

container-escape-check的原理是通过检测容器中的逃逸毛病来识别潜伏的安全问题。container-escape-check可以检测容器中的逃逸毛病，如容器内核毛病、容器文件系统毛病等。企业可以使用container-escape-check识别其容器情况中的安全问题，并根据检测结果改进其安全计谋。

github地点：https://github.com/teamssix/container-escape-check


云原生&容器专栏：
https://blog.csdn.net/zhouruifu2015/category_5704941

官网地点：http://www.mdrsec.com
更多精彩，关注我公号：CTO Plus
原文：开源项目 | 17款云原生安全相干的扫描和平台类开源工具 (qq.com)


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。