The Docker Bench Security application

Docker Bench for Security es una secuencia de comandos que comprueba docenas de prácticas recomendadas comunes relacionadas con la implementación de contenedores Docker en producción. Todas las pruebas están automatizadas y están inspiradas en el CIS Docker Community Edition Benchmark v1.1.0.

Para ejecutar estas pruebas, disponemos de un contenedor ya creado y con solo ejecutarlo, dispondremos del informe de nuestro servidor docker. Para ello, ejecutamos el siguiente comando:

docker run -it --net host --pid host --userns host --cap-add audit_control \

-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \

-v /var/lib:/var/lib \

-v /var/run/docker.sock:/var/run/docker.sock \

-v /usr/lib/systemd:/usr/lib/systemd \

-v /etc:/etc --label docker_bench_security \

docker/docker-bench-security

También podemos construir nuestro container, a partir del repositorio de GitHub, con los siguientes comandos:

git clone http://github.com/docker/docker-bench-security.git

cd docker-bench-security

docker build --no-cache -t docker-bench-security .

docker run -it --net host --pid host --cap-add audit_control \

-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \

-v /var/lib:/var/lib \

-v /var/run/docker.sock:/var/run/docker.sock \

-v /usr/lib/systemd:/usr/lib/systemd \

-v /etc:/etc --label docker_bench_security \

docker-bench-security

También disponemos de Docker Compose, en Github:

git clone http://github.com/docker/docker-bench-security.git

cd docker-bench-security

docker-compose run --rm docker-bench-security

Como cuarta opción, podemos tenerlo como script nativo de Linux, sin usar contenedores:

git clone http://github.com/docker/docker-bench-security.git

cd docker-bench-security

sudo sh docker-bench-security.sh