Треть образов контейнеров в Docker Hub содержит опасные уязвимости
28 мая 2015 года
В результате изучения актуальности содержимого начинки образов контейнеров, размещённых в репозитории Docker Hub, были выявлены серьёзные проблемы с безопасностью. Более 30% добавленных в 2015 году образов контейнеров в официальном репозитории содержат компоненты, имеющие опасные уязвимости, такие как ShellShock в bash и Heartbleed в OpenSSL. При том, что официальные репозитории формируются при участии первичных проектов, таких как Ubuntu, Debian, CentOS, и используются в качестве основы для построения собственных образов (library/ubuntu, library/redis и т.п.).
Для официальных образов, помеченных как самые свежие, опасные уязвимости выявлены в 23%, а при выборке всех имеющихся в репозитории контейнеров - 36%. Если рассматривать уязвимости среднего уровня опасности, такие, как Poodle в OpenSSL, то они затрагивают 74% из контейнеров 2015 года, 47% из самых новых версий контейнеров и 64% из всех контейнеров.
Распределение уязвимостей в официальном репозитории:
При изучении общего репозитория, в котором размещаются образы, подготовленные сторонними пользователями, то число опасных уязвимостей в контейнерах 2015 года составляет 31%, что на 9 пунктов меньше показателей официального репозитория. При рассмотрении самых свежих и всех образов в неофициальном репозитории, число серьёзно уязвимых оценивается в 37% и 40% соответственно, что на 14 и 4 пункта больше официального репозитория.
Распределение уязвимостей в общем репозитории:
В качестве рекомендаций по устранению сложившейся ситуации, проекту Docker рекомендуется ввести в обиход проверку состава образов на наличие устаревших версий программ, содержащих известные уязвимости. Например, добавленный в апреле этого года официальный образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканирование уязвимостей в образах с информированием о результатах пользователей и разработчиков, и помещением в карантин образов, в которых присутствуют особо опасные уязвимости. Для образов, построенных с использованием эталонных окружений, рекомендуется предусмотреть автоматическое инициирование пересборки в случае исправления опасных уязвимостей в связанных с ними компонентах.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.