તાજેતરમાં જાણીતું બન્યું mediante એક બ્લોગ પોસ્ટ, નબળાઈઓ ઓળખવા માટે પરીક્ષણ સાધનોનાં પરિણામો કોઈ પેચ નથી અને સુરક્ષા સમસ્યાઓ ઓળખે છે અલગ ડોકર કન્ટેનર છબીઓમાં.
પરીક્ષણ દર્શાવે છે કે 4 માંથી 6 સ્કેનરો જાણીતા ડોકર છબીઓ ગંભીર નબળાઈઓ હતી જેણે સ્કેનર પર જ હુમલો કરવાની અને સિસ્ટમ પર તેનો કોડ ચલાવવાની મંજૂરી આપી, કેટલાક કિસ્સાઓમાં (ઉદાહરણ તરીકે સ્નિકનો ઉપયોગ કરીને) મૂળ સુવિધાઓ સાથે.
એક હુમલો માટે, કોઈ હુમલાખોરે ફક્ત તેના ડોકફાઇઇલને તપાસવાનું શરૂ કરવું જરૂરી છે અથવા મેનિફેસ્ટ.જેસન, જેમાં વિશેષ ફોર્મેટ મેટાડેટા શામેલ છે, અથવા ઈમેજની અંદર પોડફાઇલ અને ગ્રેડલેવ ફાઇલો મૂકો.
અમે વ્હાઇટસોર્સ, સ્નીક, ફોસા અને એન્કર સિસ્ટમો માટેના શોષણ પ્રોટોટાઇપ્સ તૈયાર કરવાનું મેનેજ કરીએ છીએ.
પેકેજ ક્લેર મૂળ સલામતી ધ્યાનમાં રાખીને લખાયેલ, શ્રેષ્ઠ સુરક્ષા બતાવી.
ત્રિવીય પેકેજમાં કોઈ સમસ્યા ઓળખાઇ નથી અને પરિણામે, એવું તારણ કા .્યું હતું કે ડોકર કન્ટેનર સ્કેનર્સને અલગ વાતાવરણમાં ચલાવવું જોઈએ અથવા ફક્ત તેમની પોતાની છબીઓ ચકાસવા માટે જ વાપરવું જોઈએ, અને આવા સાધનોને સ્વચાલિત સતત એકીકરણ સિસ્ટમો સાથે કનેક્ટ કરતી વખતે પણ સાવચેત રહેવું જોઈએ.
આ સ્કેનર્સ જટિલ અને ભૂલ-ભરેલી વસ્તુઓ કરે છે. તેઓ ડોકર સાથે કામ કરી રહ્યા છે, સ્તરો / ફાઇલો કાractી રહ્યા છે, પેકેજ મેનેજરો સાથે વાતચીત કરી રહ્યા છે, અથવા વિવિધ બંધારણોનું વિશ્લેષણ કરી રહ્યા છે. તેમનો બચાવ કરવો, જ્યારે વિકાસકર્તાઓ માટેના બધા ઉપયોગના કેસોને સમાવવાનો પ્રયાસ કરવો, તે ખૂબ મુશ્કેલ છે. ચાલો જોઈએ કે જુદા જુદા ટૂલ્સ તેના માટે કેવી રીતે પ્રયત્ન કરે છે અને તેનું સંચાલન કરે છે:
જવાબદાર ડિસ્ક્લોઝર સ્કોર મારા અંગત અભિપ્રાયને પ્રતિબિંબિત કરે છે: મને લાગે છે કે સ softwareફ્ટવેર વિક્રેતાઓને તેઓને અહેવાલ કરેલા સુરક્ષા મુદ્દાઓ માટે સ્વીકાર્ય બનવું મહત્વપૂર્ણ છે, નબળાઈઓ વિશે પ્રમાણિક અને પારદર્શક રહેવું, તે ખાતરી કરવા માટે કે જે લોકો તેમના ઉત્પાદનોનો ઉપયોગ કરે છે અપડેટ વિશે નિર્ણય લેવા માટે યોગ્ય રીતે જાણ કરવામાં આવે છે. આમાં સૌથી મહત્વપૂર્ણ માહિતી શામેલ છે કે જે અપડેટમાં સુરક્ષાને લગતા ફેરફારો છે, સમસ્યા વિશે ટ્રેક કરવા અને વાતચીત કરવા માટે સીવીઇ ખોલવું અને તમારા ગ્રાહકોને સંભવિત રૂપે સૂચિત કરવું. મને લાગે છે કે જો ઉત્પાદન સીવીઇ વિશે છે, તો સ theફ્ટવેરમાં નબળાઈઓ વિશેની માહિતી પ્રદાન કરે છે તે ધારવું આ ખાસ કરીને વાજબી છે. ઉપરાંત, મને ઝડપી પ્રતિસાદ, વાજબી સુધારણાના સમય અને હુમલાની જાણ કરનાર વ્યક્તિ સાથે ખુલ્લા સંદેશાવ્યવહાર દ્વારા ખાતરી આપવામાં આવે છે.
FOSSA, Snyk અને વ્હાઇટસોર્સ પર, નબળાઈ સંબંધિત હતી ક callingલિંગ સાથે બાહ્ય પેકેજ મેનેજરને અવલંબન નિર્ધારિત કરવા અને તમને ગ્રેડલw અને પોડફાઈલ ફાઇલોમાં ટચ અને સિસ્ટમ આદેશોનો ઉલ્લેખ કરીને તમારા કોડના અમલને ગોઠવવા દે છે.
En સ્નિક અને વ્હાઇટસોર્સને લોંચ સિસ્ટમ આદેશો સાથે સંકળાયેલ નબળાઈ પણ મળી સંસ્થા કે જે ડockકફાઇલને વિશ્લેષિત કરે છે (ઉદાહરણ તરીકે, સ્નેકમાં ડોકફાયલ દ્વારા તમે ઉપયોગિતા ls (/ bin / ls) ને બદલી શકો છો, જે સ્કેનર દ્વારા થાય છે અને વ્હાઇટસર્સે તમે દલીલો દ્વારા કોડને "ઇકો" ના રૂપમાં બદલી શકો છો. ; ટેપ કરો / ટી.એમ.પી. / હેક્ડેડ_વેઇટ્સ સોર્સ_પીપ ;=1.0 '«).
એન્કોરમાં, નબળાઈ સ્ક theપિઓ ઉપયોગિતાના ઉપયોગને કારણે થઈ હતી ડોકર છબીઓ સાથે કામ કરવા માટે. Theપરેશન.જેસન ફાઇલમાં '»ઓએસ»: «$ (હેકડ_અંચોર) ટચ કરો) the' નાં પરિમાણો ઉમેરવા માટે reducedપરેશન ઘટાડવામાં આવ્યું હતું, જે યોગ્ય એસ્કેપ વિના સ્કopeપિયોને ક whenલ કરતી વખતે બદલાઈ જાય છે (ફક્ત અક્ષરો«; & <દૂર કરવામાં આવ્યા હતા) > ", પરંતુ રચના" $ () ").
આ જ લેખકે નબળાઈ શોધવાની અસરકારકતા પર એક અભ્યાસ કર્યો હતો પેચો નથી સુરક્ષા સ્કેનર્સ દ્વારા ડોકર કન્ટેનર અને ખોટા હકારાત્મકનું સ્તર.
લેખક ઉપરાંત દલીલ કરે છે કે આમાંના ઘણા સાધનો પરાધીનતા નિવારવા પેકેજ મેનેજરોનો સીધો ઉપયોગ કરો. આ તેમને બચાવવા માટે ખાસ કરીને મુશ્કેલ બનાવે છે. કેટલાક પરાધીનતા સંચાલકો પાસે ગોઠવણી ફાઇલો હોય છે જે શેલ કોડને સમાવિષ્ટ કરવાની મંજૂરી આપે છે.
જો આ સરળ રીતો કોઈક રીતે નિયંત્રિત કરવામાં આવે તો પણ, આ પેકેજ મેનેજરોને ક callingલ કરવા માટે અનિવાર્યપણે પૈસાની હકાલપટ્ટી કરવામાં આવશે. આ, તેને હળવાશથી મૂકવા માટે, એપ્લિકેશનના સંરક્ષણની સુવિધા આપતું નથી.
નબળાઈઓવાળી 73 છબીઓના પરીક્ષણ પરિણામો ઓળખાય છે, તેમ જ છબીઓમાં લાક્ષણિક એપ્લિકેશન્સની હાજરી નક્કી કરવા માટે અસરકારકતાનું મૂલ્યાંકન (એનજિનેક્સ, ટomમકેટ, હproપ્રxyક્સી, ગનકોર્ન, રેડિસ, રૂબી, નોડ), સલાહ લઈ શકાય છે કરવામાં પ્રકાશન અંદર નીચેની કડીમાં