Docker контейнерлерін сканерлеу кезінде бірнеше осалдықтар табылды

докер-хакер

Жақында белгілі болды арқылы блогтағы хабарлама, осалдықтарды анықтау құралдарын тексеру нәтижелері патч жоқ және қауіпсіздік мәселелерін анықтайды оқшауланған Docker кескіндерінде.

Тест 4 сканердің 6-еуі екенін көрсетті белгілі докер бейнелері маңызды осалдықтарға ие болды бұл сканердің өзіне шабуыл жасауға және оның кодын жүйеде, кейбір жағдайларда (мысалы, Snyk көмегімен) root артықшылықтарымен іске қосуға мүмкіндік берді.

Шабуыл үшін, шабуылдаушыға тек Dockerfile тексеруді бастау керек немесе manifest.json, оған арнайы форматталған метадеректер кіреді, немесе суреттің ішіне Podfile және gradlew файлдарын салыңыз.

Біз WhiteSource, Snyk, Fossa және анкерлік жүйелерге эксплуатациялық прототиптер дайындауға қол жеткіземіз.

Пакет Clair, бастапқыда қауіпсіздікті ескере отырып жазылған, ең жақсы қауіпсіздікті көрсетті.

Trivy пакетінде ешқандай проблемалар анықталған жоқ Нәтижесінде, Docker контейнер сканерлерін оқшауланған ортада іске қосу керек немесе тек өздерінің суреттерін тексеру үшін пайдалану керек, сонымен қатар мұндай құралдарды автоматтандырылған үздіксіз интеграция жүйелеріне қосқанда абай болыңыз деген қорытынды жасалды.

Бұл сканерлер күрделі және қателіктер туғызады. Олар докермен айналысады, қабаттарды / файлдарды шығарады, пакет менеджерлерімен өзара әрекеттеседі немесе әртүрлі форматтарды талдайды. Оларды қорғау, әзірлеушілер үшін барлық пайдалану жағдайларын орналастыруға тырысу кезінде өте қиын. Әр түрлі құралдар мұны қалай істейтінін және қалай басқаратынын көрейік:

Ақпаратты жария етудің жауапты ұпайы менің жеке пікірімді көрсетеді: менің ойымша, бағдарламалық жасақтама жеткізушілері өздеріне хабарланған қауіпсіздік мәселелеріне жауап беруі керек, осалдықтар туралы ашық және ашық болуы, өз өнімдерін пайдаланатын адамдарға сенімді болуы керек. жаңарту туралы шешім қабылдау үшін дұрыс ақпараттандырылған. Бұған жаңартудың қауіпсіздікке қатысты өзгертулері, проблеманы бақылау және хабарлау үшін CVE ашуы және сіздің клиенттеріңізге ықтимал хабарлау туралы ең маңызды ақпарат кіреді. Менің ойымша, бұл өнім CVE туралы болса, бағдарламалық жасақтаманың осалдығы туралы ақпарат беретін болса, бұл өте орынды. Сондай-ақ, жедел жауап, ақылға қонымды түзету уақыты және шабуыл туралы хабарлаған адаммен ашық қарым-қатынас маған сенімділік береді.

FOSSA, Snyk және WhiteSource-та осалдық байланысты болды қоңырау шалу арқылы сыртқы пакет менеджеріне тәуелділікті анықтау және gradlew және Podfile файлдарындағы сенсорлық және жүйелік командаларды көрсету арқылы кодтың орындалуын ұйымдастыруға мүмкіндік беру.

En Snyk және WhiteSource іске қосу жүйесінің командаларымен байланысты осалдығын анықтады Dockerfile-ді талдаған ұйым (мысалы, сіз Snyk-те Dockefile арқылы сканер тудырған ls (/ bin / ls) утилитасын ауыстыра аласыз және WhiteSurce-де кодты «echo» түріндегі аргументтер арқылы ауыстыра аласыз. ; /tmp/hacked_whitesource_pip ;=1.0 '«) түртіңіз.

Анчорде осалдық скопео утилитасын қолданудан туындады докерлермен жұмыс жасау. Операция manifest.json файлына '»os»: «$ (touch hacked_anchore)»' түріндегі параметрлерді қосуға дейін азайтылды, олар скопеоға қоңырау кезінде тиісті қашып кетусіз ауыстырылады (тек «; & <таңбалары жойылды > «, Бірақ» $ () «) конструкциясы.

Сол автор осалдықтарды анықтау тиімділігі туралы зерттеу жүргізді жамылмаған қауіпсіздік сканерлері арқылы докерлер контейнерлері және жалған позициялар деңгейі.

Автордан басқа осы құралдардың бірнешеуі екенін дәлелдейді тәуелділікті шешу үшін пакет менеджерлерін тікелей қолданыңыз. Бұл оларды қорғауды ерекше қиындатады. Кейбір тәуелділік менеджерлерінде қабықша кодын қосуға мүмкіндік беретін конфигурация файлдары бар. 

Тіпті осы қарапайым тәсілдермен жұмыс жасасаңыз да, бұл пакет менеджерлеріне қоңырау шалу сөзсіз ақшаны алып тастауды білдіреді. Бұл, жұмсақ тілмен айтқанда, қосымшаның қорғанысын жеңілдетпейді.

Осал тұстары бар 73 кескін бойынша тест нәтижелері белгілі, сондай-ақ суреттерде типтік қосымшалардың болуын анықтау тиімділігін бағалау (nginx, tomcat, haproxy, gunicorn, redis, ruby, node), кеңес алуға болады жарияланған басылым шеңберінде Келесі сілтемеде.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.