Son zamanlarda tanındı içinden bir blog yazısı, güvenlik açıklarını belirlemek için test araçlarının sonuçları yama yok ve güvenlik sorunlarını tanımlayın yalıtılmış Docker kapsayıcı görüntülerinde.
Test, 4 tarayıcıdan 6'ünün bilinen Docker görüntüleri kritik güvenlik açıkları vardı Tarayıcının kendisine saldırmasına ve bazı durumlarda (örneğin Snyk kullanarak) root ayrıcalıklarıyla kodunun sistemde çalıştırılmasına izin veren.
Bir saldırı için bir saldırganın yalnızca Dockerfile'sini kontrol etmeye başlaması gerekir veya özel olarak biçimlendirilmiş meta verileri içeren manifest.json, veya Podfile ve gradlew dosyalarını görüntünün içine koyun.
WhiteSource, Snyk, Fossa ve anchore sistemleri için istismar prototipleri hazırlamayı başarıyoruz.
El paquete Claire, başlangıçta güvenlik göz önünde bulundurularak yazılmış, en iyi güvenliği gösterdi.
Trivy paketinde hiçbir sorun tespit edilmedi ve sonuç olarak, Docker konteyner tarayıcılarının izole edilmiş ortamlarda çalıştırılması veya yalnızca kendi görüntülerini doğrulamak için kullanılması ve bu tür araçları otomatikleştirilmiş sürekli entegrasyon sistemlerine bağlarken dikkatli olması gerektiği sonucuna varıldı.
Bu tarayıcılar karmaşık ve hataya açık şeyler yapar. Docker ile ilgileniyorlar, katmanları / dosyaları çıkarıyorlar, paket yöneticileriyle etkileşime giriyorlar veya farklı formatları analiz ediyorlar. Geliştiriciler için tüm kullanım durumlarını barındırmaya çalışırken onları savunmak çok zordur. Farklı araçların bunu nasıl yapmaya çalıştığını görelim:
Sorumlu ifşa puanı kişisel fikrimi yansıtıyor: Yazılım tedarikçilerinin kendilerine bildirilen güvenlik sorunlarına yanıt vermeleri, güvenlik açıkları konusunda dürüst ve şeffaf olmaları, ürünlerini kullanan kişilerin uygun şekilde bilgilendirilmelerini sağlamak için önemli olduğunu düşünüyorum. güncelleme ile ilgili kararlar. Bu, bir güncellemenin güvenlikle ilgili değişiklikler içerdiği, sorunu takip etmek ve sorun hakkında iletişim kurmak ve potansiyel olarak müşterilerinizi bilgilendirmek için bir CVE açmaya ilişkin en önemli bilgileri içerir. Ürünün yazılımdaki güvenlik açıkları hakkında bilgi veren CVE ile ilgili olduğunu varsaymanın özellikle makul olduğunu düşünüyorum. Ayrıca, hızlı yanıt, makul düzeltme süreleri ve saldırıyı bildiren kişiyle açık iletişim sayesinde kendimi güvence altına aldım.
FOSSA, Snyk ve WhiteSource'ta güvenlik açığı, arayarak harici bir paket yöneticisine bağımlılıkları belirlemek ve gradlew ve Podfile dosyalarındaki dokunma ve sistem komutlarını belirterek kodunuzun yürütülmesini organize etmenize olanak tanır.
En Snyk ve WhiteSource ayrıca başlatma sistemi komutlarıyla ilişkili bir güvenlik açığı buldu Dockerfile'ı ayrıştıran organizasyon (örneğin, Dockefile aracılığıyla Snyk'te tarayıcının neden olduğu ls (/ bin / ls) yardımcı programını değiştirebilirsiniz ve WhiteSurce'de kodu "echo" biçimindeki argümanlar aracılığıyla değiştirebilirsiniz; dokunun / tmp / hacked_whitesource_pip; = 1.0 '«).
Anchore'da güvenlik açığının nedeni skopeo yardımcı programının kullanılmasıydı docker görüntüleri ile çalışmak için. İşlem, '»os»: «$ (hacked_anchore'a dokunun)» biçimindeki parametrelerin manifest.json dosyasına eklenmesine indirgenmiştir; bunlar, uygun bir çıkış olmadan skopeo çağrıldığında değiştirilir (yalnızca «; & <karakterleri kaldırılmıştır > ", Ancak" $ () "yapısı).
Aynı yazar, güvenlik açığı tespitinin etkinliği üzerine bir araştırma yaptı yamalı değil güvenlik tarayıcıları aracılığıyla Docker kapsayıcılarının sayısı ve yanlış pozitiflerin düzeyi.
Yazarın yanında bu araçlardan birkaçının bağımlılıkları çözmek için doğrudan paket yöneticilerini kullanın. Bu onları savunmayı özellikle zorlaştırır. Bazı bağımlılık yöneticilerinin, kabuk kodunun eklenmesine izin veren yapılandırma dosyaları vardır.
Bu basit yöntemler bir şekilde halledilse bile, bu paket yöneticilerini aramak, kaçınılmaz olarak para biriktirmek anlamına gelecektir. Bu, en hafif tabirle, uygulamanın savunmasını kolaylaştırmaz.
Güvenlik Açıkları İçeren 73 Görüntü için Test Sonuçları görüntülerde (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) tipik uygulamaların varlığını belirleme etkinliğinin değerlendirilmesinin yanı sıra bilinen, danışılabilir yapılan yayın dahilinde Aşağıdaki bağlantıda.