抖音技术能力大揭密!钜惠大礼、深度体验,尽在火山引擎增长沙龙,就等你来! 立即报名>> 了解详情
写点什么

InfoQ 访谈:Docker 生态系统的安全形势及最佳实践

2019 年 5 月 13 日

InfoQ访谈:Docker生态系统的安全形势及最佳实践

作为其开源安全现状年度报告的一部分,安全公司Snyk发布了一份特别针对Docker安全报告,该报告显示容器镜像中的漏洞广泛存在。Snyk 的报告显示,DockerHub 中的 10 大官方 Docker 镜像(包括 node、httpd、postgres、nignx 等在内)每个至少有 30 个漏洞,其中有 500 多个漏洞的 node 镜像是顶级攻击者。Docker 表示,该问题甚至涉及 Docker 认证镜像,而这些镜像必须符合最佳实践并通过某些基线测试。


Snyk 提供的绝对数字确实令人担忧,但是,它们可能不代表该问题最困难的部分。在很多情况下,修复 Docer 镜像中的漏洞很容易,使用其依赖项的非易受攻击版本重建镜像就可以了。Snyk 表示,多达 44%的 Docker 镜像包含较新版本基础镜像中已删除的漏洞。更令人担忧的是,开发人员普遍缺乏安全的自主意识,他们往往没有意识到自身角色的重要性。Snyk 的调查显示,80%的开发人员在开发过程中不会测试他们的镜像,而 50%的开发人员根本没有扫描他们的镜像是否存在漏洞。


Snyk 表示,处理 Docker 镜像漏洞的最佳方法取决于三个关键实践。首先,作为一项卫生规则,对于给定的目的,开始的时候,选择使用最小的 Docker 镜像是非常便利的,不要添加任何不必要的包。其次,在开发和生产过程中都应该定期扫描镜像。最后,应该把镜像作为 CI/CD 管道的一部分加以重建,并且首选多阶段构建,因为它们有助于优化镜像。


Snyk 的开源安全现状报告的范围比 Docker 生态系统更广。基于对 500 多位开源开发人员和维护人员的调查,以及来自公共应用程序注册表、库数据集和 GitHub 存储库的数据最终完成了该报告。


InfoQ 就此问题采访了 Snyk 开发人员倡导者 Liran Tal 以获得更多信息。


InfoQ:Snyk 的报告显示,最近几年,开源库中发现的漏洞数量急剧增加。您是否能谈谈您是如何得到这个结论的?


Liran Tal:根据 Snyk 从cvedetails收集的信息,Snyk 追踪了在一些最流行的 Linux 发行版上公开的安全状态披露信息。Snyk 发现,红帽企业版 Linux、Ubuntu 和 Debian 中的安全漏洞在 2018 年增长了 3 倍。没错,没有漏掉小数点,增长了近 3.5 倍。

由于 Snyk 根据严重程度查看漏洞的细分,我们发现, 2017 年和 2018 年继续呈现了这个趋势,暴露的严重漏洞数量在增加。


InfoQ:提到 Docker,底层操作系统和系统库的安全是至关重要的。您能否对该报告提出的问题发表一下评论吗?


Liran Tal:Docker 镜像几乎总是会带有已知的漏洞,这也伴随着巨大的价值。系统库当然是操作系统中常见的工件,是构建 Docker 镜像的基础。随着越来越多的系统库和工具绑定在 Docker 镜像中,在镜像中发现安全漏洞的风险也随之增加。

大多数漏洞来自我们不显式使用的库。在大多数生态系统中,75%或更多的依赖项不是直接引入的,是通过我们使用的库隐式拉入的,Snyk 发现,所追踪的总体漏洞的 78%来自间接依赖项。

随着 2019 年容器持续在 IT 领域中的爆发性投入使用,容器安全威胁不断上升,现在,组织比以往更加重视把确保镜像安全放在首要位置。


Snyk 的开源安全报告有 50 页之多,包含了很多本文中没有提及的细节。如果您对软件安全及如何改进它感兴趣,请务必阅读该报告。


阅读英文原文Security Landscape of the Docker Ecosystem and Best Practices


2019 年 5 月 13 日 08:005171
用户头像

发布了 199 篇内容, 共 68.6 次阅读, 收获喜欢 278 次。

关注

评论

发布
暂无评论
发现更多内容

架构师训练营第八周作业1

韩儿

Prometheus backfilling 功速体验

_why先生

Prometheus tsdb

架构师训练营 - 第十二周 - 作业一

行者

八、性能二

Geek_28b526

Codurance不太一样

sherlockq

第十二周作业

alpha

极客大学架构师训练营

架构师训练营第十二周课后作业

Gosling

极客大学架构师训练营

大数据1第十二周作业「架构师训练营第 1 期」

天天向善

谈谈 MySQL 锁

郭儿的跋涉

MySQL 数据库 锁机制

架构师训练营第十二周学习总结

Gosling

极客大学架构师训练营

第八周作业

孤星

宝马区块链负责人:我们是如何让区块链技术与汽车产业结合的?

CECBC区块链专委会

大数据

别再用智能合约时代的思维,去思考下一代区块链应用

CECBC区块链专委会

区块链 计算机

许可区块链是许多金融应用未来的关键特性

CECBC区块链专委会

比特币区块链

前端不得不懂的架构知识(中)

执鸢者

架构 前端

架构师训练营第八周作业2

韩儿

第三周作业

Geek_b9053c

架构师训练营 -week12-作业

大刘

极客大学架构师训练营

第十二周 数据应用1 总结

三板斧

极客大学架构师训练营

银行业大数据应用及HiveQLjoin分析

garlic

极客大学架构师训练营

架构师训练营第 1 期 week12

张建亮

极客大学架构师训练营

第八周 作业

Jack

02-week3-homework

J

极客大学架构师训练营

Prometheus TSDB(Part 1):头块

_why先生

Prometheus tsdb

架构师训练营 1 期 - 第十二周 - 数据应用1

三板斧

极客大学架构师训练营

架构师训练营第 1 期 - 第 12 周课后练习

Anyou Liu

极客大学架构师训练营

怒肝一夜,写了这篇mybatis源码阅读篇

田维常

mybatis

Java并发编程:并发中死锁的形成条件及处理

码农架构

Java并发

第八周总结

孤星

第三周 代码重构 作业 「架构师训练营 3 期」

feiyun123

极客大学架构师训练营

12周作业

橘子皮嚼着不脆

Study Go: From Zero to Hero

Study Go: From Zero to Hero

InfoQ访谈:Docker生态系统的安全形势及最佳实践-InfoQ