DockSec是一个OWASP孵化器项目,它将三个容器安全扫描仪与语言模型层相结合,用于解释和补救。由Advait Patel创建的Python工具针对开发人员的Dockerfile和图像运行Trivy、Hadolint和Docker Scout,将结果相关联,返回0-100安全分数,并提出特定行的修复。
DockSec需要Python 3.12,并在麻省理工学院许可证下发货。它支持四种语言模型后端:OpenAI、Anthropic、Google Gemini和通过Ollama服务的本地模型,具有离线运行的仅扫描模式,不需要API密钥。
扫描和修复之间的工作流程间隙
根据帕特尔的说,集装箱安全工具市场分为两个阵营。他告诉Help Net Security:“集装箱安全格局现在分为两个桶。”“纯扫描仪(Trivy、Grype、Clair、Snyk Container、Anchore)擅长寻找东西,但不擅长帮助你修复它们。你会得到一份包含200个CVE的列表,开发者的工作是找出哪3个很重要。”
企业集装箱安全平台占据了第二个阵营。Patel引用了Prisma Cloud、Aqua和Sysdig作为为安全团队构建的产品,具有预算和员工人数,运营权重和部署成本相匹配。
DockSec针对这两个类别之间的接缝。“’扫描仪发现某物’和’开发人员修复它’之间的工作流程差距。Patel说:“这个差距是大多数容器漏洞消失的地方。”“一个团队得到扫描报告,开发人员要么忽略它,要么花半天时间在谷歌上搜索每个CVE,问题要么悄悄解决,要么在’接受风险’下归档并被遗忘。”
补救输出反映了该目标。DockSec返回代码重写和上下文解释,报告导出为HTML、PDF、JSON、CSV和Markdown。Patel说,输出的形式是“您的Dockerfile的第14行是问题所在,这是更正后的版本,这就是为什么它在您的特定图像中很重要。”
反对通用人工智能助手的立场
人工智能辅助扫描仪的前提提出了一个关于GitHub Copilot、Cursor和Claude Code等通用编码助手的问题。Patel直接解决了重叠问题。他说:“如果你指的是Copilot、Cursor、Claude Code等,那么是的,他们最终会吸收DockSec在表层所做的很多工作。”“大多数时候,开发人员会问他们的助手’这个Docker文件安全吗’,并得到一个合理的答案。工作流程的这一部分将被商品化,否则假装是愚蠢的。”
两个防御在帕特尔的帐户中保持了一个专门的层。第一个是确定性扫描仪基础。编码助手可以标记卫生问题,例如以根目录运行容器。对基层库中特定CVE的认识取决于扫描仪是否识别了它。Patel引用了openssl 1.1.1k作为需要扫描数据才能浮出水面的漏洞。
第二个防御是治理。Patel说:“’副驾驶说很好’在审计师的第一个问题中幸存不去。”“专用层的存在是因为安全必须生活在治理包络内,而通用工具不是为之构建的。”
竞争格局
对于Patel来说,更大的商业风险是成熟的集装箱安全平台。他引用了Snyk、Aqua、Sysdig和Prisma作为最有可能将等效推理能力捆绑到其现有许可证中并作为复选框功能提供的公司。“这就是真正的竞争风险,”他说。
该项目的目标受众是在没有平台部署和安全预算的情况下运营的开发人员。Patel称该人群是该项目试图保持的车道。
GitHub上的路线图列出了Docker Compose多服务扫描、Kubernetes清单分析、用于自动拉取请求审查的GitHub操作以及按计划执行自定义安全策略的功能。
在帕特尔看来,该项目的目的是在角色之间调整人工制品。他说:“我正在努力确保安全团队和开发人员正在查看相同的人工制品,并能够在同一天采取行动。”
DockSec在GitHub上免费提供。
原文链接地址:https://www.helpnetsecurity.com/2026/06/08/docksec-open-source-ai-docker-security-scanner/
