容器安全事件正在成为软件团队的日常现实,而原本用于防护的工具反而可能让问题变得更糟。这是 BellSoft 一项最新调查的核心结论。该调查显示,近四分之一的开发者曾遭遇过与容器相关的安全事件,而许多组织仍在采用扩大攻击面而非缩小攻击面的实践方式。
这项针对 427 名开发者开展的调查发现,23%的受访者遇到过容器安全漏洞。BellSoft 指出,最危险的阶段通常出现在漏洞披露后和修复前之间的这段时间,这个窗口期可能持续数周甚至数月,而存在风险的系统仍在生产环境中运行。尽管过去十年容器平台已经有了长足的进步,但研究表明,安全基础仍未被充分理解,实践也参差不齐。
问题的核心在于人为失误、遗留习惯与过度复杂的工具三者互相交织。62%的受访者表示,人为错误是导致容器安全问题的最主要原因。许多开发者仍将便捷性置于最小权限原则之上:54%的受访者认为基础镜像中必须包含 Shell,39%的受访者依赖包管理器。这些工具在开发阶段虽有帮助,但在生产环境中会引入不必要的组件和运行时变更,显著扩大攻击面。
超过半数(55%)的受访者使用通用型 Linux 发行版,如Ubuntu、Debian或基于Red Hat的镜像,这些镜像包含数百个从未使用的软件包。每一个包都代表一个潜在的漏洞,无论应用是否实际用到,都必须要持续跟踪、评估和修补。当发现漏洞时,安全团队必须在数千个容器间协调修复,即便风险在很大程度上只是理论上的。
大多数团队依赖被动防御,而非预防性的设计。最常见的防护措施是可信镜像仓库(45%)和漏洞扫描(43%),BellSoft 将其归类为被动响应威胁的基础手段,而非从源头降低风险。补丁更新节奏也很不一致:31%的受访者每次发布都会更新镜像,26%的受访者在出现高危漏洞时才回开展行动,而足足 33%的受访者每月、很少甚至一年仅更新几次,这会留下漫长的暴露窗口期。
尽管面临这些挑战,开发者们似乎已意识到更优的前进方向。近 48%受访者表示,预先加固、以安全为导向的基础镜像对提升容器安全最有帮助。这类镜像默认会移除不必要的工具和软件包,减少漏洞,并将持续维护与补丁管理的责任转移给专业厂商。
“在调查的每一部分,都传递着同一个明确信息:团队想要安全、高效与简洁,但现有策略和工具让这一切难以实现。” BellSoft 的 CEO Alex Belokrylov表示,“通过采用加固镜像,大部分持续安全性与维护责任会被转移给镜像厂商,这能够降低运维负担与总体拥有成本,同时打造更稳定、低维护、高安全的容器环境。”
BellSoft 的研究表明,随着容器使用量持续增长,企业必须重新思考的不只是如何检测漏洞,还有如何设计容器底座,从被动打补丁转向主动、最小化和加固的运行时环境。
原文链接:
BellSoft Survey Finds Container Security Practices Are Undermining Developers’ Own Goal
