Snyk 的 2019 年开源安全状况报告指出,目前有 54% 的开发人员未在开发过程中测试其容器镜像,但是 2018 年报告的操作系统漏洞却增加了 4 倍。合作达成后,Docker 将首次提供由 Snyk 支持的本地漏洞检测和修复程序。在快速进行“docker scan”后,开发人员可以获得有关其容器映像漏洞的报告。然后,他们将获得指导以帮助解决所报告的问题。
Snyk 方面称,“在容器构建的背景下,开发人员的责任主要在于选择合适的基础映像并将其添加到他们的工具中,而不是手工挑选或重新编译易受攻击的依赖项。将这两个因素放在一起,典型的容器漏洞清单几乎没有什么用处,而且可操作性不强”。并表示,其可提供针对使用容器的开发人员的修复指南。“对于基础镜像引入的问题,Snyk 可帮助用户从漏洞较少的同一个系列中选择 Docker 官方镜像,并在 Docker 将更新推送到当前使用的基础镜像时向用户发出警报。”
此外,通过将 Snyk 的以开发人员为中心的图像扫描技术和漏洞数据库集成到 Docker 中,开发人员还可以在桌面级别以及整个内外循环开发过程中获得持续的安全性。
Docker 产品副总裁 Justin Graham 则表示,与 Snyk 的合作意味着开发人员将比以前更容易找到并修复漏洞。两家公司透露,Snyk 的图像扫描服务将于今年第三季度提供给 Docker 用户。
