18,000 下載:DockSec 幫 Docker CVE 排雷
DockSec 將本地容器掃描與 AI 結合,幫團隊從 Docker 漏洞噪音中挑出高風險項目,並直接產出可執行的修補建議。
DockSec 把本地容器掃描和 AI 排序結合,幫團隊從 Docker 漏洞噪音中挑出高風險項目,並直接給出修補建議。
18,000 次下載、90 個 pull request 之後,DockSec 已從個人專案走向社群安全工具。這個開源專案由 Advait Patel 主導,並進入 OWASP incubator portfolio,目標很直接:把 Docker image 裡真正該修的風險,和掃描器吐出的雜訊分開。
Patel 的做法不是再造一個掃描器,而是把現有工具的輸出收斂成可行動的結果。對開發者來說,這意味著少看幾十行 CVE 清單,多看幾條能直接改 Dockerfile 的提示。
| 項目 | 數值 |
|---|---|
| Downloads | 18,000 |
| Pull requests | 90 |
| Images scanned in example | 15 |
| High-severity vulnerabilities found | 183 |
| Critical vulnerabilities found | 15 |
| Vulnerabilities in Vault image | 40 |
發生了什麼
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
DockSec 會先在本地跑 Trivy、Hadolint 和 Docker Scout。接著,它用 LLM 把結果合併、去重,並依影響程度重新排序。
這套流程解決的是安全團隊最常見的痛點:掃描結果太多,但真正需要先修的只有少數幾項。Patel 提到,一次典型掃描可能冒出 200 多個 CVE,開發者很難立刻判斷哪個會真的拖慢上線或造成風險。
DockSec 的輸出也不是只有分數或標記。它會用白話說明問題,並提供 Markdown 格式的 Dockerfile 修改建議,讓工程師可以直接複製到工作流裡。
- 掃描維持在本地執行。
- 只有掃描中繼資料會送進 LLM。
- 可選 OpenAI、Anthropic 或 Google Gemini。
- 也能透過 Ollama 在本地運行。
這個專案的起點也很務實:Docker image 會把未修補漏洞一起帶進部署流程。Patel 舉例,掃描 15 個 images 時,找出 183 個 high-severity 問題與 15 個 critical 問題,Vault image 內也有 40 個漏洞。
為什麼重要
對開發者來說,DockSec 不是在增加更多警報,而是在縮短「發現問題」到「真的修掉」之間的距離。這對 CI/CD 特別重要,因為 vulnerable image 一旦進入 build 或部署流程,後面補救成本通常更高。
對產業來說,這也反映 AI 安全工具的下一步:不只是找 defect,而是幫人判斷哪些 CVE 值得先處理,並把修法寫到足夠具體。若工具能在不暴露 image 內容的前提下完成這件事,企業採用門檻會低很多。
OWASP 的加持也改變了信任結構。Patel 提到,進入 incubator 後,企業關注度和社群貢獻都上來了,同時也讓外界更期待它維持 vendor-neutral、community-first 的路線。
問題已經不是掃描器能不能找出更多 CVE,而是團隊能不能在 image 送出前,先把最該修的那幾個處理掉。DockSec 想做的,就是把這一步變得更快、更短,也更像工程流程,而不是安全報表。