_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

Container Security — Trivy, Falco

01. 01. 2024 1 min čtení intermediate

Kontejnery nejsou magicky bezpečné. Zranitelné base image, root user, secrets v env — běžné chyby.

Image scanning

Trivy

trivy image myapp:latest trivy image –severity HIGH,CRITICAL nginx:latest

Bezpečný Dockerfile

FROM node:20-alpine AS build WORKDIR /app COPY package*.json ./ RUN npm ci –only=production FROM gcr.io/distroless/nodejs20 COPY –from=build /app /app USER nonroot EXPOSE 3000 CMD [“app/server.js”]

Runtime security — Falco

Falco rule — detekce shell v kontejneru

  • rule: Shell in container condition: container and proc.name in (bash, sh, zsh) output: “Shell started in container (user=%user.name container=%container.name)” priority: WARNING

Klíčový takeaway

Distroless/alpine images, non-root user, multi-stage builds. Skenujte images, monitorujte runtime.

securitydockercontainerstrivyfalco

Další know-how

Container Security — best practices pro produkci

Praktické best practices pro zabezpečení kontejnerů v produkci. Image scanning, runtime security, least privilege a...

Docker security checklist

Docker security checklist — image scanning, non-root, read-only filesystem.

Image Signing — Cosign a Sigstore

Jak podepisovat container images. Cosign, keyless signing, verify v CI/CD.