DockSec bringt KI in die Container-Sicherheit: Von 200 CVEs zu handhabbaren Lösungen

Entwickelt wurde er, einem Senior SRE bei Broadcom, ausschließlich in seiner Freizeit. Die Software ist unter der MIT-Lizenz verfügbar und kann über `pip install docksec` installiert werden. DockSec ersetzt bestehende Scanner nicht.

Es führt Trivy, Hadolint und Docker Scout lokal aus und überträgt ausschließlich die Scan-Metadaten – niemals den Inhalt des Images – an eine ählte LLM.

Die LLM korreliert die Ergebnisse aller drei Tools, eliminiert Duplikate, bewertet die Schwachstellen nach ihrer tatsächlichen Auswirkung und generiert Erklärungen in einfacher Sprache sowie exakte Korrekturen für das Dockerfile. Als Ausgabeformate stehen HTML, PDF, JSON, Markdown und CSV zur Verfügung.

Technik und Auswirkungen

Unterstützte LLM-Anbieter sind OpenAI, Anthropic Claude, Google Gemini und Ollama für Teams, die vollständig offline arbeiten. Patel beschreibt die Frustration, die dies auslöste: „An einem typischen Tag würde ich ein Container-Image scannen und mehr als 200 CVEs erhalten.

Die meisten waren Rauschen, einige waren echt, aber es gab keinen einfachen Weg, einem Entwickler zu sagen: 'Reparieren Sie diese drei Zeilen, und Sie sind gut.' Sicherheitstools sind großartig darin, Probleme zu finden, aber schlecht darin, Menschen dabei zu helfen, sie zu beheben." Die meisten Container-Sicherheitstools fallen in eine wie Trivy, Grype und Snyk übernehmen die Erkennungsarbeit und bleiben dabei.

Enterprise-Plattformen wie Prisma Cloud und Aqua Security umhüllen die Erkennung in Richtlinien-Dashboards, die auf große Sicherheitsteams mit entsprechendem Budget zugeschnitten sind.

DockSec positioniert sich dazwischen: Es schichtet

DockSec positioniert sich dazwischen: Es schichtet Korrelation, Erklärung und konkrete Behebungen auf Scanner auf, die Entwickler ohnehin bereits einsetzen, und ist dafür konzipiert, innerhalb einer CI-Pipeline oder eines Entwickler-Terminals zu leben, anstatt in einer Sicherheitskonsole, die niemand öffnet.

Die Übernahme ändert, wie Unternehmens-Teams diese bewerten. Früher war es ein GitHub-Projekt, auf das Entwickler zufällig stießen. Anschließend erlangte es den status eines vendor-neutralen, community-verantwortlichen Standards, den Beschaffungs- und Sicherheitsteams suchen. MIT-Lizenz, keine Enterprise-Ebene mit Zugangssperren, kein Lizenzrisiko.

Die Produktionszahlen sind konkret: Ein MVAS-Betreiber, der Dienste in 28 Ländern und bei 53 Telekommunikationsbetreibern einsetzt, integrierte DockSec in seine Jenkins-Pipeline und verzeichnete einen Rückgang kritischer CVEs in der Produktion um 78 %, eine Verkürzung der durchschnittlichen Triage-Zeit von 45 auf pro Image sowie eine Vervierfachung der ausgelieferten Dockerfile-Fixes pro Sprint.

Wenn ein Sicherheitsbericht in 6 statt

Wenn ein Sicherheitsbericht in 6 statt in gelesen werden kann, lesen Entwickler ihn tatsächlich – und das verändert alles nachgelagert. DockSec verfügt über mehr als 18.000 Downloads auf PyPI und mehr als 220 GitHub-Sterne. Patel wird im Juni auf der OWASP Global AppSec EU in Wien sprechen.

Wenn Ihre Pipeline Entwicklern weiterhin eine rohe CVE-Liste liefert und auf das Beste hofft, dann ist dies das Problem, das DockSec lösen soll. Installieren Sie es mit `pip install docksec` oder Sie dem Projekt auf GitHub. Neue ChatGPT-Schwachstelle ermöglicht Angreifern, Webseiten in Phishing-Payloads umzuwandeln.

Hacker nutzen Kollaborationsfunktionen, um sich als IT-Helpdesk-Personal auszugeben.