В результате изучения актуальности содержимого начинки образов контейнеров, размещённых в репозитории Docker Hub (https://hub.docker.com/), были выявлены (http://www.banyanops.com/blog/analyzing-docker-hub/) серьёзные проблемы с безопасностью. Более 30% добавленных в 2015 году образов контейнеров в официальном репозитории (https://github.com/docker-library/official-images) содержат компоненты, имеющие опасные уязвимости, такие как ShellShock в bash и Heartbleed в OpenSSL. При том, что официальные репозитории формируются при участии первичных проектов, таких как Ubuntu, Debian, CentOS, и используются в качестве основы для построения собственных образов (library/ubuntu, library/redis и т.п.).Для официальных образов, помеченных как самые свежие, опасные уязвимости выявлены в 23%, а при выборке всех имеющихся в репозитории контейнеров - 36%. Если рассматривать уязвимости среднего уровня опасности, такие, как Poodle в OpenSSL, то они затрагивают 74% из контейнеров 2015 года, 47% из самых новых версий контейнеров и 64% из всех контейнеров.
<center><a href="http://www.banyanops.com/img/blog/dockerhub-official-image00... src="https://www.opennet.ru/opennews/pics_base/0_1432796910.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
Распределение уязвимостей в официальном репозитории:
<center><a href="http://www.banyanops.com/img/blog/dockerhub-official-image00... src="https://www.opennet.ru/opennews/pics_base/0_1432798009.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
При изучении общего репозитория, в котором размещаются образы, подготовленные сторонними пользователями, то число опасных уязвимостей в контейнерах 2015 года составляет 31%, что на 9 пунктов меньше показателей официального репозитория. При рассмотрении самых свежих и всех образов в неофициальном репозитории, число серьёзно уязвимых оценивается в 37% и 40% соответственно, что на 14 и 4 пункта больше официального репозитория.
<center><a href="http://www.banyanops.com/img/blog/dockerhub-general-image001... src="https://www.opennet.ru/opennews/pics_base/0_1432797628.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
Распределение уязвимостей в общем репозитории:
<center><a href="http://www.banyanops.com/img/blog/dockerhub-general-image003... src="https://www.opennet.ru/opennews/pics_base/0_1432798150.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
В качестве рекомендаций по устранению сложившейся ситуации, проекту Docker рекомендуется ввести в обиход проверку состава образов на наличие устаревших версий программ, содержащих известные уязвимости. Например, добавленный в апреле этого года официальный образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканирование уязвимостей в образах с информированием о результатах пользователей и разработчиков, и помещением в карантин образов, в которых присутствуют особо опасные уязвимости. Для образов, построенных с использованием эталонных окружений, рекомендуется предусмотреть автоматическое инициирование пересборки в случае исправления опасных уязвимостей в связанных с ними компонентах.
URL: http://www.banyanops.com/blog/analyzing-docker-hub/
Новость: https://www.opennet.ru/opennews/art.shtml?num=42322