容器和Kubernetes随着技术的逐步成熟与普及度的不断提高，已经逐渐走过了迅猛高速迭代只为大跨步发展的阶段，越来越多企业开始关注技术在生产环境的落地，关注应用性、稳定性和安全性。

从2018年年底开始，Kubernetes和Docker陆陆续续被爆出不少安全漏洞，容器安全问题开始成为业界普遍关注的对象。2019年初，Tripwire发布了2019年关于容器安全的最新现状调查研究，报告定位的问题较为专一和深入，再加上Tripwire本身在安全相关的行业经验，本文中我们一起来了解DevOps实践的新宠（容器）在安全方面的现状。

调研机构

Tripwire致力于IDS（Intrusion detection system：入侵检测系统）的研究和对应，它根据系统整体的完整性是否遭到破坏来判断是否被入侵，在安全领域有一定的名声。在DevOps实践方面，可能这家公司的合作创始人兼前CTO的Gene Kim（凤凰项目一书的作者）更加有名气一些。而Tripwire早在2014年底，就已经被美国最大的高速电子电缆生产商之一的百通（Belden Inc）所并购。

数据来源

这份报告的结论建立在对数百份IT安全相关的职业人员的调研基础之上。受访对象中311位受访者在超过100名雇员的公司中管理环境中的容器。其中，高达86%的受访者（269位）在生产环境中进行镜像的使用。

而受访对象的所在行业也与2019年DevSecOps的数据不谋而合——科技和金融合起来接近半壁江山，容器在科技和金融领域的展开相较于其他行业有一定的优势。

使用现状

86%的受访者在生成环境中使用了容器

根据反馈，高达86%的受访者在生产环境中使用了容器。近1/3（32%）的受访者所在企业生产环境中使用容器的数量超过100，近1/3的受访对象对容器的使用在10-100之间，少于10个的企业占到22%。整体来看容器在生产环境的使用已经在很大程度上得到推进。

对于容器安全的关注

对于容器安全，高达94%的受访对象对容器安全比较关注，只有6%的受访者表示并不在乎。表示高度关注的受访对象达到了43%，所以容器安全从开始就得到了重视。

用得越多关注度越高

从在生产环境中使用的容器数量来分析关注度高的受访者状况，显示出使用的容器数量愈多，对于容器安全的关注愈高，生产环境中容器数量超过100的受访者的“非常关注”的比例达到了54%。

注：上图中深红色的（More than 10 containers应该是报告的失误，此处明显应该是100）

了解得愈多关注度愈高

受职责所在以及对于容器安全的知识多少的影响，显示出具有安全相关的职责和对于容器安全知识的多少都会造成关注度的不同。知道的愈多，关注度愈高。

容器安全的关注点

对于容器安全的关注相关的调查显示，目前的状态仍然停留在“团队缺乏足够的容器安全知识”的程度，由于不了解产生的关注，仍很难落于实处。

生产环境的使用不容乐观

在前面的数据中显示311位受访者所在企业中高达269位所在的企业在生产环境中使用了容器。而在这之中，只有7%的受访者表示“他们的生产环境没有安全性的问题”，剩余93的受访者之中，47%确信他们在生产环境中有安全性的问题，46%不知道/不确信他们是否有类似的问题。

47%的受访者确信他们存在容器安全的隐患，这其中包括：

17%的受访者表示清楚地知道存在这些问题，但是义无反顾地将容器布置到了生产环境
30%的受访者表示知道存在这些问题，但是并不知道这些安全性的问题到底是什么
46%的受访者不知道/不确信是否有类似问题

46%的受访者不知道/不确信是否有类似问题，这其中包括：

20%的受访者表示他们不认为有，但是不是很确信
22%的受访者表示他们知道有一些，但是不确信
4%的受访者表示他们不知道

这是一个很可怕的反馈，潜台词就是，高达93%的受访者不是非常清楚问题的状况，而这里是生产环境的部署。此外，根据容器使用数量的反馈进行分析也能得到类似的结果：

关于“我们知道问题的所在，但是我们还是部署了它们”的情况，可以看到这是一个接近线性的比例，这一数据显示了非常重要的信号，在生产环境中使用得多（超过100容器），这种问题发生的比例就高，也就是说目前的容器安全的意识和水平，整体来说并不是很高。

60%的受访者所在组织在过去一年碰到过安全事件

除了29%的受访者明确表示没有安全问题，11%的受访者表示不知道之外，剩余的60%的受访者所在组织在过去的一年中都碰到过安全事件，其中5次以下的占到了37%，而超过100次的也有3%。

做得越多错得越多

前面已经分析过了，在生产环境部署了100个以上的组织，并不意味着他们是在成熟度高了之后进行的逐步扩展，从结果的分析看来，明显是做得越多错得越多。

未来期待

关于未来的期待，71%的受访者认为容器安全问题所占的比例在接下来的一年会稳定上升。

相较于对安全状况的不甚明了，对于容器安全问题在来年所占比率上，13%的受访者认为会大幅上升，58%认为会小幅上升，合计71%的受访者对此表示强烈的信心。

而关于问题会增多的原因更多的受访者分析为内因，容器的推广和在关键业务中的使用都大于或等于对外部黑客可能侵入的担忧。

42%的受访者表示会因为安全风险限制容器的推广

虽然有点像因噎废食，但安全风险的确不容忽视，虽然看起来正确的做法是增加安全的防护，42%的受访者明确表示会考虑因安全风险而限制容器的使用。

高达98%的用户反馈希望在容器环境中增强安全相关的功能

谁该为容器安全负责

关于谁该负责容器安全这个话题，46%的受访者认为负责IT安全的部门应该负责这个。

由于容器的采用，82%的受访者认为关于安全职责的问题需要重新思考

这不只是一份调查报告，很有可能跟你的工作相关，容器的引入带来了新的安全问题。这个问题谁该负责并没有一个标准的答案，46%的受访者认为是IT安全部门应该负责，很有可能这些受访者都不是IT安全部门的员工。

总结

容器推行势在必行，但容器安全的责任归属尚未明确，而使用容器所带来的安全问题已经实际存在，发生只是时间问题。尽管企业已经在积极思考对策，但安全问题不会等待。

Rancher Kubernetes平台拥有着 超过一亿次 下载量，我们深知 安全问题 对于用户而言的重要性。

2018年年底Kubernetes被爆出的首个严重安全漏洞CVE-2018-1002105，就是由Rancher Labs联合创始人及首席架构师Darren Shepherd发现的。

2019年1月Kubernetes被爆出仪表盘和外部IP代理安全漏洞CVE-2018-18264时，Rancher Labs也是第一时间向用户响应，确保所有Rancher 2.x和1.6.x的用户都完全不被漏洞影响。

2019年2月爆出的严重的runc容器逃逸漏洞CVE-2019-5736，影响到大多数Docker与Kubernetes用户，Rancher Kubernetes管理平台和RancherOS操作系统均在不到一天时间内紧急更新，是业界第一个紧急发布新版本支持Docker补丁版本的平台，还帮忙将修复程序反向移植到所有版本的Docker并提供给用户，且提供了连Docker官方都不支持的针对Linux 3.x内核的修复方案。

负责、可靠、快速响应、以用户为中心，是Rancher始终不变的初心；在每一次业界出现问题时，严谨踏实为用户提供相应的应对之策，也是Rancher一如既往的行事之道。未来，Rancher也将一如既往支持与守护在用户的K8S之路左右，确保大家安全、稳妥、无虞地继续前进❤️

参考链接
https://www.tripwire.com/solutions/devops/tripwire-dimensional-research-state-of-container-security-report

作者：刘淼，HPE架构师，慧与大学讲师，Exin DevOps Master和DevOps Professional授权讲师，CSDN博主(liumiaocn)，爱老婆爱厨艺的终身技术学习者。

创作场景

2019 年容器安全最新现状研究报告解读