Orisirisi awọn ailagbara ni a rii nigbati o ṣayẹwo awọn apoti Docker

docker-gepa

Laipe di mimọ nipasẹ ifiweranṣẹ bulọọgi kan, awọn abajade ti awọn irinṣẹ idanwo lati ṣe idanimọ awọn ailagbara ko si alemo ati idanimọ awọn ọran aabo ni ya sọtọ Docker awọn aworan eiyan.

Idanwo naa fihan pe 4 ti awọn ọlọjẹ 6 naa awọn aworan Docker ti a mọ ni awọn ailagbara pataki ti o gba laaye lati kọlu ọlọjẹ funrararẹ ati ṣiṣe koodu rẹ lori eto, ni awọn igba miiran (lilo Snyk fun apẹẹrẹ) pẹlu awọn anfani ipilẹ.

Fun kolu kan, ikọlu kan nilo lati bẹrẹ ṣayẹwo ṣayẹwo Dockerfile rẹ tabi manifest.json, eyiti o ni ọna kika kika metadata pataki, tabi fi adarọ ese ati gradlew awọn faili inu aworan naa.

A ṣakoso lati ṣetan awọn apẹẹrẹ iru lo nilokulo fun WhiteSource, Snyk, Fossa ati awọn eto anchore.

Akopọ - Clair, akọkọ kọ pẹlu ailewu ni lokan, fihan aabo ti o dara julọ.

Ko si awọn iṣoro ti a damọ ninu package Trivy ati bi abajade, o pari pe awọn ọlọjẹ apoti eiyan Docker yẹ ki o ṣiṣẹ ni awọn agbegbe ti a ya sọtọ tabi lo nikan lati jẹrisi awọn aworan tiwọn, ati tun ṣọra nigbati o ba n sopọ iru awọn irinṣẹ bẹẹ si awọn eto isopọmọ adaṣe adaṣe.

Awọn ọlọjẹ wọnyi ṣe awọn idiju ati awọn nkan ti o faramọ aṣiṣe. Wọn n ṣe ajọṣepọ pẹlu docker, yiyọ awọn fẹlẹfẹlẹ / awọn faili jade, ibaraenisepo pẹlu awọn alakoso package, tabi itupalẹ awọn ọna kika oriṣiriṣi. Aabo wọn, lakoko igbiyanju lati gba gbogbo awọn ọran lilo fun awọn oludagbasoke, nira pupọ. Jẹ ki a wo bii awọn irinṣẹ oriṣiriṣi ṣe gbiyanju ati ṣakoso lati ṣe:

Dimegilio ifitonileti ifọkasi ṣe afihan imọran ti ara mi: Mo ro pe o ṣe pataki fun awọn olutaja sọfitiwia lati ṣe idahun si awọn ọran aabo ti o sọ fun wọn, lati jẹ ol honesttọ ati gbangba nipa awọn ailagbara, lati rii daju pe awọn eniyan ti o lo awọn ọja wọn ni alaye lọna ti o yẹ lati ṣe awọn ipinnu nipa imudojuiwọn. Eyi pẹlu alaye pataki julọ ti imudojuiwọn kan ni awọn ayipada ti o ni ibatan aabo, ṣiṣi CVE lati ṣe atẹle ati ibaraẹnisọrọ nipa iṣoro naa, ati pe o le fi to awọn onibara rẹ leti. Mo ro pe eyi jẹ ọlọgbọn paapaa lati ro ti ọja ba jẹ nipa CVE, n pese alaye nipa awọn ailagbara ninu sọfitiwia. Pẹlupẹlu, Mo ni idaniloju nipasẹ idahun iyara, awọn akoko atunse ti o tọ, ati ibaraẹnisọrọ ṣiṣi pẹlu ẹni ti o ṣe ijabọ ikọlu naa.

Ni FOSSA, Snyk, ati WhiteSource, ibajẹ naa ni ibatan pẹlu pipe si oluṣakoso package ita lati pinnu awọn igbẹkẹle ati gba ọ laaye lati ṣeto ipaniyan ti koodu rẹ nipasẹ sisọ ifọwọkan ati awọn aṣẹ eto ninu gradlew ati awọn faili Podfile.

En Snyk ati WhiteSource tun rii ipalara kan, ti o ni nkan ṣe pẹlu awọn aṣẹ eto ifilọlẹ agbari ti o ṣe atunyẹwo Dockerfile (fun apẹẹrẹ, ni Snyk nipasẹ Dockefile o le rọpo ohun elo ls (/ bin / ls), ti o ṣẹlẹ nipasẹ ẹrọ ọlọjẹ ati ni WhiteSurce o le rọpo koodu nipasẹ awọn ariyanjiyan ni irisi “iwoyi”; tẹ ni kia kia / tmp / hacked_whitesource_pip; = 1.0 '«).

Ni Anchore, ailagbara naa ṣẹlẹ nipasẹ lilo iwulo skopeo lati ṣiṣẹ pẹlu awọn aworan docker. Iṣẹ naa ti dinku si fifi awọn ipilẹ ti fọọmu '»os»: «$ (ifọwọkan hacked_anchore)»' si faili manifest.json, eyiti o rọpo nigbati o pe skopeo laisi abayo to dara (awọn kikọ nikan «; & <ni a yọ kuro) > ", Ṣugbọn òrùka" $ () ").

Onkọwe kanna ni o ṣe iwadii lori ipa ti iṣawari ipalara ko patched nipasẹ awọn ọlọjẹ aabo ti awọn apoti docker ati ipele ti awọn igbekele eke.

Yato si onkọwe njiyan pe ọpọlọpọ awọn irinṣẹ wọnyi taara lo awọn alakoso package lati yanju awọn igbẹkẹle. Eyi jẹ ki wọn nira pupọ lati daabobo. Diẹ ninu awọn alakoso igbẹkẹle ni awọn faili iṣeto ti o fun laaye ifisi koodu ikarahun. 

Paapa ti awọn ọna ti o rọrun wọnyi ba ṣe lọna lọna bakan, pipe awọn alakoso package wọnyi yoo jẹ aiṣeeeṣe tumọ si fifọ owo jade. Eyi, lati fi sii ni irẹlẹ, ko dẹrọ aabo ti ohun elo naa.

Awọn abajade idanwo ti awọn aworan 73 ti o ni awọn ailagbara mọ, bakanna bi igbelewọn ti ipa lati pinnu niwaju awọn ohun elo aṣoju ninu awọn aworan (nginx, tomcat, haproxy, gunicorn, redis, ruby, node), le kan si alagbawo laarin atẹjade ti a ṣe Ni ọna asopọ atẹle.


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.