InfoQ 访谈:Docker 生态系统的安全形势及最佳实践

阅读数:4928 2019 年 5 月 13 日 08:00

InfoQ访谈:Docker生态系统的安全形势及最佳实践

作为其开源安全现状年度报告的一部分,安全公司 Snyk 发布了一份特别针对 Docker 安全报告,该报告显示容器镜像中的漏洞广泛存在。Snyk 的报告显示,DockerHub 中的 10 大官方 Docker 镜像(包括 node、httpd、postgres、nignx 等在内)每个至少有 30 个漏洞,其中有 500 多个漏洞的 node 镜像是顶级攻击者。Docker 表示,该问题甚至涉及 Docker 认证镜像,而这些镜像必须符合最佳实践并通过某些基线测试。

Snyk 提供的绝对数字确实令人担忧,但是,它们可能不代表该问题最困难的部分。在很多情况下,修复 Docer 镜像中的漏洞很容易,使用其依赖项的非易受攻击版本重建镜像就可以了。Snyk 表示,多达 44% 的 Docker 镜像包含较新版本基础镜像中已删除的漏洞。更令人担忧的是,开发人员普遍缺乏安全的自主意识,他们往往没有意识到自身角色的重要性。Snyk 的调查显示,80% 的开发人员在开发过程中不会测试他们的镜像,而 50% 的开发人员根本没有扫描他们的镜像是否存在漏洞。

Snyk 表示,处理 Docker 镜像漏洞的最佳方法取决于三个关键实践。首先,作为一项卫生规则,对于给定的目的,开始的时候,选择使用最小的 Docker 镜像是非常便利的,不要添加任何不必要的包。其次,在开发和生产过程中都应该定期扫描镜像。最后,应该把镜像作为 CI/CD 管道的一部分加以重建,并且首选多阶段构建,因为它们有助于优化镜像。

Snyk 的开源安全现状报告的范围比 Docker 生态系统更广。基于对 500 多位开源开发人员和维护人员的调查,以及来自公共应用程序注册表、库数据集和 GitHub 存储库的数据最终完成了该报告。

InfoQ 就此问题采访了 Snyk 开发人员倡导者 Liran Tal 以获得更多信息。

InfoQ:Snyk 的报告显示,最近几年,开源库中发现的漏洞数量急剧增加。您是否能谈谈您是如何得到这个结论的?

Liran Tal:根据 Snyk 从 cvedetails 收集的信息,Snyk 追踪了在一些最流行的 Linux 发行版上公开的安全状态披露信息。Snyk 发现,红帽企业版 Linux、Ubuntu 和 Debian 中的安全漏洞在 2018 年增长了 3 倍。没错,没有漏掉小数点,增长了近 3.5 倍。

由于 Snyk 根据严重程度查看漏洞的细分,我们发现, 2017 年和 2018 年继续呈现了这个趋势,暴露的严重漏洞数量在增加。

InfoQ:提到 Docker,底层操作系统和系统库的安全是至关重要的。您能否对该报告提出的问题发表一下评论吗?

Liran Tal:Docker 镜像几乎总是会带有已知的漏洞,这也伴随着巨大的价值。系统库当然是操作系统中常见的工件,是构建 Docker 镜像的基础。随着越来越多的系统库和工具绑定在 Docker 镜像中,在镜像中发现安全漏洞的风险也随之增加。

大多数漏洞来自我们不显式使用的库。在大多数生态系统中,75% 或更多的依赖项不是直接引入的,是通过我们使用的库隐式拉入的,Snyk 发现,所追踪的总体漏洞的 78% 来自间接依赖项。

随着 2019 年容器持续在 IT 领域中的爆发性投入使用,容器安全威胁不断上升,现在,组织比以往更加重视把确保镜像安全放在首要位置。

Snyk 的开源安全报告有 50 页之多,包含了很多本文中没有提及的细节。如果您对软件安全及如何改进它感兴趣,请务必阅读该报告。

阅读英文原文 Security Landscape of the Docker Ecosystem and Best Practices

收藏

评论

微博

用户头像
发表评论

注册/登录 InfoQ 发表评论