金融科技中的容器安全：基于 eBPF 和 WASM 的漏洞降噪技术.docxVIP

基于eBPF

基于eBPF和WASM的漏洞降噪技术

分享人:平安银河实验室杨莉

镜像漏洞扫描持续威胁暴露面管理（CTEM）基于eBPF获取软件包使用情况基于WASM获取软件包安装路径总结

镜像漏洞扫描

持续威胁暴露面管理（CTEM）

基于eBPF获取软件包使用情况

基于WASM获取软件包安装路径

总结

1.1为什么要对容器镜像进行漏洞扫描供应链攻击不良配置的容器有漏洞的宿主机暴露的secret构建机器上的攻击容器镜像的不良配置不安全的网络应用程序代码的漏洞容器逃逸漏洞图1：容器攻击向量

1.1为什么要对容器镜像进行漏洞扫描

供应链攻击

不良配置的容器

有漏洞的宿主机

暴露的secret

构建机器上的攻击

容器镜像的不良配置

不安全的网络

应用程序代码的漏洞

容器逃逸漏洞

图1：容器攻击向量

1.2如何进行漏洞扫描简单、快速且功能丰富TrivyAquaS

1.2如何进行漏洞扫描

简单、快速且

功能丰富

Trivy

AquaSecurity

大型容器集群的

企业用户

Clair

Quay

适用于Anchore

生

态且需要与SBOM集成

Grype

Anchore

1.3漏洞扫描的过程1.爬取|从

1.3漏洞扫描的过程

1.爬取|从Ubuntu等供应商和NVD等标准漏洞库中爬

取安全数据；

2.存储|将爬取到的