Вот можешь поиграться с ними и посмотреть кто что найдет

FROM ubuntu:trusty

RUN apt-get install software-properties-common -y && add-apt-repository ppa:deadsnakes/ppa && apt-get clean && apt-get update -y
RUN apt-get install -t trusty-backports amarok -y
RUN apt-get install wget -y && apt-get install build-essential -y
RUN wget https://www.python.org/ftp/python/2.7.6/Python-2.7.6.tgz && tar xf Python-2.7.6.tgz
WORKDIR ./Python-2.7.6
RUN ./configure && make && make install
RUN apt-get install python-pip -y && pip install backports.ssl_match_hostname && pip install backports.pbkdf2
WORKDIR /usr/lib/ && RUN mkdir python2.6 && WORKDIR /usr/lib/python2.6/ && RUN mkdir dist-packages && mkdir lib-dynload

FROM ubuntu:trusty

RUN apt-get install software-properties-common -y && add-apt-repository ppa:deadsnakes/ppa && apt-get clean && apt-get update -y
RUN apt-get install -t trusty-backports amarok -y
RUN apt-get install wget -y && apt-get install build-essential -y
RUN wget https://www.python.org/ftp/python/2.7.6/Python-2.7.6.tgz && tar xf Python-2.7.6.tgz
WORKDIR ./Python-2.7.6
RUN ./configure && make && make install
RUN apt-get install python-pip -y && pip install backports.ssl_match_hostname && pip install backports.pbkdf2
WORKDIR /usr/lib/ && RUN mkdir python2.6 && WORKDIR /usr/lib/python2.6/ && RUN mkdir dist-packages && mkdir lib-dynload

Спасибо!

по trivy инфа немного устарела. он давно уже умеет и пакеты находить с уязвимостями (у меня питоновые проекты - от anchore не отстаёт), и в следующей версии научится указывать layer id с уязвимостью. т.е. перетереть что-то будет недостаточно (фича сейчас в разработке).

я это не к тому, что anchore не нужен, а к тому, что trivy достаточно шустро развивается. :-)

Когда начинали, его как раз aquasecurity прикупили (конец 2019). И может зимой застой был. Тесты вроде не так давно делались, ну в любом случае, в плане матерости, trivy далеко до anchore/clair

А мы свою систему вокруг дописывали, так как образов дофига и больше. Хотя я очень был за trivy изначально.

Но спасибо за инфу, может где-то в другом месте пригодится

P.S. Поискал историю, если верить то мы на Trivy v0.4.2 тестировали.

ну я всех трёх держу + depspy.

И когда есть время смотреть все репорты? ;)

а выхлопы сканеров в SIEM летят. а оно там уже думает паниковать или ещё рано.

+++

Вот это и убивает всю осмысленность этих сканирований. В моем случае clair вообще падала при сканировании образа, хотя он был валидный

А что для SIEM используете?

Я помню смотрел есть ли какая интеграция для IBM QRadar, но особо не видел да и не эксперт в ней, только помогал настроить на AWS и ещё по мелочи

Чё такое

Splunk

Это не для этого комьюнити))

сам отдувайся, у меня обед. :-P

19:00 «Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON. Недавно состоялся долгожданный выпуск новой версии фреймворка для построения и оценки эффективности программы безопасности. Поговорим про что там нового и что это за проект вообще.

19:15 «Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT.

19:30 «OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов. 

20:10 «Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин.

20:35 «From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин.

OWASP (Open Web Application Security Project)
https://www.youtube.com/watch?v=A08B94PYDVg

ЗЫ Пока ещё идёт трансляция, но можно отмотать на самое начало.

Все пропустил, ну, как так