worlds-biggest-software-project/017-container-registry-vulnerability-scanner

# 容器镜像仓库与漏洞扫描器 AI 原生容器安全平台，具备可达性感知的漏洞优先级排序、自主基础镜像修复以及实时依赖图智能分析——消除不可达代码中 90–95% 的 CVE 噪音。 ## 存在的问题 容器漏洞扫描在实际应用中存在缺陷： - **告警疲劳极其严重** — 扫描器会报告数千个 CVE；其中 80–95% 位于不可达代码路径中 - **静态 CVE 列表忽略了上下文** — 从未执行的代码中的漏洞与关键支付路径中的漏洞被同等对待 - **修复是手动过程** — 工具仅负责标记 CVE；开发人员必须手动编写修复方案 - **没有开源工具提供可达性分析** — JFrog Xray 和 Snyk 提供了商业化解决方案；目前不存在相应的开源替代品 现有解决方案：Trivy 和 Harbor 擅长检测，但将优先级排序和修复工作留给了人工。商业工具（Snyk, Xray）解决了这个问题，但每月收费 $25–$60/开发者，且存在供应商锁定风险。 ## 功能介绍 ### 可达性感知的漏洞优先级排序 (AI 原生) - **静态调用图分析** — 哪些函数可能实际调用该漏洞代码路径？ - **运行时流量追踪关联** — 生产环境中哪些请求触发了漏洞代码？ - **综合评分** — 过滤掉 90–95% 理论上存在但实际不可达的 CVE - **大幅减少告警疲劳** — 专注于真正重要的 5–10% 的 CVE - **目前尚无开源工具实现此功能** — 这是市场上最大的单一空白 ### 自主基础镜像修复 - **检测到“从 ubuntu:20.04 升级到 ubuntu:22.04 可修复 47 个 CVE”** — 每个扫描器都会标记此问题 - **自动生成 PR**，包含基础镜像升级、Dockerfile 重建和 CI 测试套件运行 - **预测计划影响** — “此更改将层大小减少 125MB，新增 2 个依赖项” - **仅限人工审查** — AI 负责发起 PR；团队在合并前进行审查 - **闭环从检测到修复的全流程**，替代所有需要手动干预的工具 ### 实时依赖图智能分析 - **维护活跃的知识图谱**，涵盖镜像仓库中的所有镜像及其依赖项 - **实时 CVE 传播追踪** — 当发布新漏洞时，仅向负责受影响服务的团队发送警报 - **传递依赖可见性** — 检测新披露的 CVE 是否影响深达三层的底层依赖 - **自动修复建议** — 生成升级建议及影响分析 ### 跨镜像来源异常检测 - **按镜像名称/tag建立行为基线** — 包含包集合、二进制熵、监听端口 - **对统计异常的变更发出警报** — 当新推送的镜像与其前任版本出现显著偏差时 - **检测供应链攻击** — 在晋升至生产环境之前，发现更改的包、可疑二进制文件 - **现有工具均未涉及此攻击向量** — 安全态势中未被解决的盲区 ## 核心优势 | 功能 | 本平台 | Trivy | Harbor | Snyk Container | JFrog Xray | |---------|---|---|---|---|---| | **可达性分析** | ✓ (调用图 + 追踪) | — | — | ✓ (评分) | ✓ (上下文) | | **基础镜像自动 PR** | ✓ | — | — | ✓ (建议) | — | | **实时依赖图** | ✓ | — | — | ✓ (镜像仓库监控) | ✓ (递归扫描) | | **来源异常** | ✓ (基于 AI) | — | — | — | — | | **开源** | ✓ | ✓ (Apache) | ✓ (Apache) | — | — | | **私有化部署** | ✓ | ✓ | ✓ | — | (需要 Artifactory) | ## 市场与机遇 - **市场规模**: $450M–$1.2B (2024) → 按 15.5–18.5% 的 CAGR 增长，至 2033 年达到 $2.1–3.5B - **广泛的容器安全市场**: $3.05B (2025) → 按 24.17% 的 CAGR 增长，至 2030 年达到 $9.01B - **目标客户**: DevSecOps 工程师、平台工程师、CISO、云原生初创公司 - **开源空白**: 可达性分析已在生产环境中得到验证但尚未开源；来源异常检测尚属空白领域 ## 研究基础 - **80–95% 报告的 CVE 均位于不可达代码路径中** (业界共识；无单一特定研究) - **Snyk Priority Score 和 JFrog Xray Contextual Analysis** 是目前仅有的生产级实现 - **供应链攻击日益针对二进制/包级别的制品** — 行为异常检测是一种新兴的防御模式 - **SBOM (CycloneDX/SPDX) 的采用正在加速** — 这是依赖图智能分析的基础 ## 快速开始 ``` # 使用可达性分析扫描镜像 scan-container image nginx:latest \ --reachability=enabled \ --runtime-traces=/path/to/traffic.json # 自动修复基础镜像 remediate --image=nginx:latest \ --target-base-image=ubuntu:24.04 \ --create-pr # 查询实时依赖图 graph query --affected-by=cve-2024-12345 \ --teams-to-notify # → 返回受影响服务及其团队所属信息列表 # 检测来源异常 anomaly-detect --image=myapp:latest \ --baseline-version=myapp:1.2.3 ``` ## 目标用户 1. **DevSecOps 工程师** — CI/CD 扫描，有效减少告警疲劳 2. **平台工程师** — 适用于物理隔离或本地环境的私有化部署镜像仓库 3. **CISO / 安全架构师** — SBOM 生成、证明与合规性报告 4. **云原生初创公司** — 零摩擦扫描，无需签订六位数的合同 5. **FinOps 团队** — 容器成本归因与优化 ## 相关标准 - OCI Image Specification (OCI v1.1) 和 OCI Distribution Specification - CycloneDX (OWASP, v1.6.1) — 侧重安全的 SBOM 标准 - SPDX (Linux Foundation, v3.0) — 面向合规性的 SBOM 格式 - SLSA (Supply-chain Levels for Software Artifacts) — 来源与构建完整性 - Sigstore / Cosign — 无密钥容器镜像签名 - NIST SP 800-190 — 应用容器安全指南 - ISO 27001:2022 Control 8.25 — 可证明的漏洞扫描 基于 NIST SP 800-190、OWASP DevSecOps Guideline 的研究，以及来自 Trivy、Harbor 和商业平台的生产实践经验构建。[阅读完整研究](./research.md) | [功能路线图](./features.md)

标签：AI原生, CISA项目, CVE优先级排序, DevSecOps, Docker, Dockerfile, Google Gemini, Harbor替代, Trivy替代, Web截图, 上游代理, 依赖图分析, 可达性分析, 告警疲劳, 基础镜像修复, 子域名突变, 安全左移, 安全防御评估, 容器安全, 容器镜像仓库, 搜索语句（dork）, 日志审计, 模块化设计, 自动化修复, 自动提PR, 请求拦截, 运行时流量, 静态调用图