文章总结： 文档介绍了一款名为DockerScan的容器安全扫描工具，宣称由Go语言重写并具备五维扫描能力，涵盖CIS基线、供应链风险、密钥泄露及运行时加固等。文章提供了详细的安装步骤、CI/CD集成示例及性能对比，声称扫描速度优于Trivy等竞品。文末包含证书销售广告，属于典型的工具推广软文，技术细节与营销内容并存。 综合评分： 55 文章分类： 安全工具,云安全,软文广告,应用安全

2025核弹级Docker杀手！Go重写+五维扫描，5分钟揪出12万种挖矿镜像

菜狗 菜狗

只会看监控的实习生

2026年2月22日 08:00 江西

⚡ 一句话体验

# ① 下载单文件绿色版（Linux 示例）
curl -L https://github.com/cr0hn/dockerscan/releases/latest/download/dockerscan-linux-amd64 -o dockerscan && chmod +x dockerscan

# ② 更新 CVE 库（30 MB，每日自动更新）
./dockerscan update-db

# ③ 扫描并输出 SARIF（GitLab/GitHub/VSCode 直接看）
./dockerscan -q myapp:latest --output reports/

🎯 核心能力（五维合一）

| 维度 | 2024-2025 真攻击特征 | 量级 | | — | — | — | | CIS v1.7.0 | 80+ 基线检查（守护进程/功能/命名空间） | ✅ 全量 | | 供应链 | 无镜像容器｜挖矿镜像｜xz-utils 后门｜钓鱼文档 | 400 万+ 样本 | | 密钥泄露 | 40+ 服务（AWS/GCP/OpenAI/Stripe/Slack…）+ 熵 >4.5 未知秘钥 | 40+ 模式 | | CVE 漏洞 | 2024-2025 关键容器逃逸（runc、BuildKit、Docker Desktop） | 2.5 年 NVD | | 运行时加固 | Seccomp/AppArmor/SELinux/特权/能力/只读根文件系统 | 31+ 检查 |

📊 输出格式（企业级直接接）

• SARIF → GitHub Security Tab / GitLab SAST / VSCode 插件
• JSON → 机器可读，CI 变量直通
• 终端彩条 → 🟢🟡🔴  emoji 分级，开发同事也爱看
• 退出代码 → 0=通过 1=警告 2=致命 流水线 exit 自动阻断发布

🏎️ 性能对比（同镜像 1 万层）

| 工具 | 语言 | 吞吐量 | 内存 | 安装 | | — | — | — | — | — | | DockerScan v2 | Go | 5 000 img/h | ≈80 MB | 单文件 | | Trivy | Go | 1 200 img/h | ≈300 MB | apt/yum | | Clair | Go | 800 img/h | ≈2 GB | 微服务集群 | | Snyk | Node | 1 000 img/h | ≈500 MB | npm/安装包 |

🚀 CI/CD 一行接入

- name: Docker Security Scan
  run: |
    curl -L https://github.com/cr0hn/dockerscan/releases/latest/download/dockerscan-linux-amd64 -o dockerscan && chmod +x dockerscan
    ./dockerscan update-db
    ./dockerscan -q ${{ github.sha }} --output /tmp/reports
- name: Upload SARIF
  uses: github/codeql-action/upload-sarif@v3
  with:
    sarif_file: /tmp/reports/dockerscan-report.sarif

GitLab CI

docker-scan:
  script:
    - curl -L https://github.com/cr0hn/dockerscan/releases/latest/download/dockerscan-linux-amd64 -o dockerscan && chmod +x dockerscan
    - ./dockerscan update-db && ./dockerscan -q $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
  artifacts:
    reports:
      sast: dockerscan-report.sarif

🔧 离线/内网环境

# 1. 在外网机下载 CVE 库
dockerscan update-db --from-file ./cve-db.sqlite

# 2. 拷贝到隔离区
./dockerscan myapp.tar --scanners cis,secrets,vulnerabilities --quiet

🧩 插件架构（10 行 Go 自定义）

package myscan
import "github.com/cr0hn/dockerscan/v2/internal/scanner"
type MyScanner struct{ scanner.BaseScanner }
func (s MyScanner) Scan(ctx context.Context, target models.ScanTarget) ([]models.Finding, error) {
    // 你的扫描逻辑
    return findings, nil
}
// main.go 注册
registry.Register(myscan.NewMyScanner())

📦 多平台一键安装

| 平台 | 命令（复制即装） | | — | — | | Linux x86_64 | curl -L https://github.com/cr0hn/dockerscan/releases/latest/download/dockerscan-linux-amd64 -o dockerscan && chmod +x dockerscan && sudo mv dockerscan /usr/local/bin/ | | macOS M 系列 | curl -L https://github.com/cr0hn/dockerscan/releases/latest/download/dockerscan-darwin-arm64 -o dockerscan && chmod +x dockerscan && sudo mv dockerscan /usr/local/bin/ | | Windows PowerShell | Invoke-WebRequest -Uri "https://github.com/cr0hn/dockerscan/releases/latest/download/dockerscan-windows-amd64.exe" -OutFile "dockerscan.exe" |

📚 常用场景速查

| 场景 | 一条命令 | | | | — | — | — | — | | CI 阻断 | ./dockerscan -q myapp:latest | | exit 1 | | 仅看致命 | ./dockerscan --only-critical redis:7 | | | | 指定扫描器 | ./dockerscan --scanners supplychain,secrets node:16 | | | | 合规报告 | ./dockerscan --scanners cis --output /audit | | | | 离线更新 | ./dockerscan update-db --from-file ./cve-db.sqlite | | |

📊 与主流工具对比

| 特性 | DockerScan v2 | Trivy | Clair | Snyk | | — | — | — | — | — | | CIS v1.7 全量 | ✅ 80+ 项 | ❌ | ❌ | 部分 | | 供应链（2024） | ✅ | ❌ | ❌ | ❌ | | 运行时安全 | ✅ | ❌ | ❌ | ❌ | | SARIF 原生 | ✅ | ✅ | ❌ | ✅ | | 速度 (img/h) | 5 000 | 1 200 | 800 | 1 000 | | 分发 | 单文件 | 包管理器 | 微服务集群 | SaaS | | 成本 | 免费 | 免费 | 免费 | 💰 付费档 |

关注回复dockerscan获取

低价出售安全证书不限于cisp、pte等请Vme～建了一个项目群，想进群的请回复进群即可

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 菜狗 菜狗《2025核弹级Docker杀手！Go重写+五维扫描，5分钟揪出12万种挖矿镜像》