최근에 알려졌다 통해 블로그 게시물, 취약점을 식별하기위한 테스트 도구의 결과 패치 없음 및 보안 문제 식별 격리 된 Docker 컨테이너 이미지에서.
테스트 결과 4 개의 스캐너 중 6 개가 알려진 Docker 이미지 심각한 취약성이 있음 이는 스캐너 자체를 공격하고 시스템에서 코드를 실행할 수 있도록 허용했습니다 (예 : Snyk 사용).
공격의 경우 공격자는 Dockerfile 확인을 시작하기 만하면됩니다. 또는 특별히 형식이 지정된 메타 데이터를 포함하는 manifest.json, 또는 Podfile 및 gradlew 파일을 이미지 안에 넣으십시오.
WhiteSource, Snyk, Fossa 및 anchore 시스템에 대한 익스플로잇 프로토 타입을 준비합니다.
엘 파 케테 클레어, 원래 안전을 염두에두고 작성되었습니다. 최고의 보안을 보여주었습니다.
Trivy 패키지에서 확인 된 문제 없음 결과적으로 Docker 컨테이너 스캐너는 격리 된 환경에서 실행되거나 자체 이미지를 확인하는 데만 사용되어야하며 이러한 도구를 자동화 된 연속 통합 시스템에 연결할 때주의해야한다는 결론을 내 렸습니다.
이러한 스캐너는 복잡하고 오류가 발생하기 쉬운 작업을 수행합니다. 그들은 도커를 다루고, 레이어 / 파일을 추출하고, 패키지 관리자와 상호 작용하거나 다른 형식을 분석합니다. 개발자를위한 모든 사용 사례를 수용하려고 노력하면서이를 방어하는 것은 매우 어렵습니다. 다양한 도구가이를 수행하고 관리하는 방법을 살펴 보겠습니다.
책임 공개 점수는 내 개인적인 의견을 반영합니다. 소프트웨어 공급 업체가보고 된 보안 문제를 수용하고, 취약성에 대해 정직하고 투명하게, 제품을 사용하는 사람들이 결정을 내릴 수 있도록 적절한 정보를 제공하는 것이 중요하다고 생각합니다. 업데이트에 대해. 여기에는 업데이트에 보안 관련 변경 사항이 있다는 가장 중요한 정보가 포함되며, CVE를 열어 문제를 추적하고 통신하며 잠재적으로 고객에게 알릴 수 있습니다. 제품이 소프트웨어의 취약성에 대한 정보를 제공하는 CVE에 관한 것이라고 가정하는 것이 특히 합리적이라고 생각합니다. 또한 빠른 대응, 합리적인 수정 시간, 공격을 신고 한 사람과의 열린 소통에 안심이됩니다.
FOSSA, Snyk 및 WhiteSource에서 취약점이 관련되었습니다. 전화로 외부 패키지 관리자에게 종속성을 확인하고 gradlew 및 Podfile 파일에 터치 및 시스템 명령을 지정하여 코드 실행을 구성 할 수 있습니다.
En Snyk와 WhiteSource는 시스템 실행 명령과 관련된 취약점도 발견했습니다. Dockerfile을 구문 분석 한 조직 (예 : Dockefile을 통한 Snyk에서는 스캐너로 인한 유틸리티 ls (/ bin / ls)를 대체 할 수 있으며 WhiteSurce에서는 "echo"형식의 인수를 통해 코드를 대체 할 수 있습니다. / tmp / hacked_whitesource_pip; = 1.0 '«).
Anchore에서 취약점은 skopeo 유틸리티 사용으로 인해 발생했습니다. 도커 이미지로 작업합니다. 적절한 이스케이프없이 skopeo를 호출 할 때 대체되는 manifest.json 파일에 '»os»:«$ (touch hacked_anchore)»'형식의 매개 변수를 추가하는 것으로 작업이 축소되었습니다 (문자«; & <만 제거됨). > ", 그러나 구조"$ () ").
같은 저자가 취약점 탐지의 효과에 대한 연구를 수행했습니다. 패치되지 않음 보안 스캐너를 통해 도커 컨테이너 수 및 오 탐지 수준.
저자 외에 이러한 도구 중 몇 가지는 패키지 관리자를 직접 사용하여 종속성 해결. 이것은 특히 방어하기 어렵게 만듭니다. 일부 종속성 관리자에는 쉘 코드를 포함 할 수있는 구성 파일이 있습니다.
이러한 간단한 방법이 어떻게 든 처리 되더라도 이러한 패키지 관리자를 호출하는 것은 필연적으로 돈을 버는 것을 의미합니다. 이것은 가볍게 말하면 애플리케이션의 방어를 용이하게하지 않습니다.
취약점이있는 73 개 이미지에 대한 테스트 결과 이미지 (nginx, tomcat, haproxy, gunicorn, redis, ruby, node)에서 일반적인 응용 프로그램의 존재를 확인하는 효과 평가 상담 가능 출판물 내에서 다음 링크에서.