容器安全扫描器Skill container-security-scanner

容器安全扫描器是一款专注于容器化环境安全的自动化工具,主要用于扫描容器镜像和Kubernetes配置中的安全漏洞、错误配置、密钥泄露和合规性问题。该工具集成了Trivy、Grype、kube-bench等主流安全扫描工具,能够全面检测CVE漏洞、生成SBOM软件物料清单、验证镜像签名、执行CIS基准检查,并生成详细的合规性报告。适用于DevSecOps流水线集成、云原生安全加固、容器镜像安全审计等场景,帮助开发者和运维团队构建更安全的容器化应用。关键词:容器安全扫描、Kubernetes安全、漏洞检测、CVE扫描、DevSecOps、镜像安全、合规性检查、SBOM生成、云原生安全。

云安全 0 次安装 0 次浏览 更新于 2/26/2026

name: container-security-scanner description: 容器镜像和Kubernetes安全扫描,用于发现CVE漏洞、错误配置和合规性问题 allowed-tools:

  • Bash
  • Read
  • Write
  • Glob
  • Grep
  • WebFetch

容器安全扫描技能

目的

自动化容器镜像和Kubernetes安全扫描,以识别容器化环境中的漏洞、错误配置、密钥和合规性问题。

功能

镜像漏洞扫描

  • 使用Trivy、Grype或Anchore扫描容器镜像中的已知CVE漏洞
  • 检测操作系统包和应用程序依赖项中的漏洞
  • 生成CycloneDX或SPDX格式的SBOM(软件物料清单)
  • 跟踪漏洞严重程度(严重、高、中、低)

Dockerfile安全分析

  • 检查Dockerfile最佳实践和安全问题
  • 识别特权容器配置
  • 检测Dockerfile中的硬编码密钥
  • 验证基础镜像安全性和新鲜度

Kubernetes安全扫描

  • 使用kube-bench运行Kubernetes CIS基准检查
  • 分析Pod安全策略和标准
  • 检查RBAC配置是否存在过度许可访问
  • 检测不安全的网络策略

密钥检测

  • 扫描镜像中嵌入的密钥和凭据
  • 识别层中的API密钥、令牌和密码
  • 检查环境变量配置

镜像签名验证

  • 使用cosign验证容器镜像签名
  • 验证镜像来源和证明
  • 检查镜像注册表安全配置

合规性报告

  • 生成合规性报告(CIS、NIST、PCI-DSS)
  • 将发现映射到合规性控制
  • 跟踪修复状态和时间表

集成

  • Trivy: 全面的容器漏洞扫描器
  • Grype: 容器镜像漏洞扫描器
  • Syft: SBOM生成工具
  • kube-bench: Kubernetes CIS基准检查器
  • Falco: 运行时安全监控
  • Anchore: 企业容器安全平台
  • cosign: 容器镜像签名和验证

目标流程

  • 容器安全扫描流程
  • DevSecOps流水线集成
  • 基础设施即代码安全扫描
  • Kubernetes安全加固
  • 容器镜像构建流水线

输入模式

{
  "type": "object",
  "properties": {
    "imageName": {
      "type": "string",
      "description": "带标签的容器镜像名称"
    },
    "registry": {
      "type": "string",
      "description": "容器注册表URL"
    },
    "dockerfilePath": {
      "type": "string",
      "description": "用于静态分析的Dockerfile路径"
    },
    "kubeManifestPath": {
      "type": "string",
      "description": "Kubernetes清单文件路径"
    },
    "scanType": {
      "type": "array",
      "items": {
        "type": "string",
        "enum": ["vulnerability", "config", "secrets", "compliance", "sbom"]
      }
    },
    "severityThreshold": {
      "type": "string",
      "enum": ["CRITICAL", "HIGH", "MEDIUM", "LOW"]
    }
  },
  "required": ["imageName"]
}

输出模式

{
  "type": "object",
  "properties": {
    "scanId": {
      "type": "string"
    },
    "imageName": {
      "type": "string"
    },
    "scanTimestamp": {
      "type": "string",
      "format": "date-time"
    },
    "vulnerabilities": {
      "type": "object",
      "properties": {
        "critical": { "type": "integer" },
        "high": { "type": "integer" },
        "medium": { "type": "integer" },
        "low": { "type": "integer" },
        "findings": {
          "type": "array",
          "items": {
            "type": "object",
            "properties": {
              "cveId": { "type": "string" },
              "severity": { "type": "string" },
              "package": { "type": "string" },
              "fixedVersion": { "type": "string" },
              "description": { "type": "string" }
            }
          }
        }
      }
    },
    "misconfigurations": {
      "type": "array"
    },
    "secrets": {
      "type": "array"
    },
    "complianceStatus": {
      "type": "object"
    },
    "recommendations": {
      "type": "array",
      "items": { "type": "string" }
    }
  }
}

使用示例

skill: {
  name: 'container-security-scanner',
  context: {
    imageName: 'myapp:v1.2.3',
    registry: 'registry.example.com',
    scanType: ['vulnerability', 'config', 'secrets'],
    severityThreshold: 'HIGH'
  }
}