周三在旧金山的DockerCon上,首席执行官史蒂夫辛格强调安全性是Docker核心的原则之一。
仅在一天前,总部位于德国的安全软件开发商Kromtech又提出安全性不是代码容器的优先事项。
在过去的十二个月里,Kromtech在一篇博客文章 Docker Hub中解释了这个容器开发的社区镜像存储库,它托管了至少17个恶意的Docker镜像。
这些折中的容器已经处理完毕,但Kromtech认为Docker应该决定停止 Docker Security Scanning的免费访问功能 - 这是Docker Hub上Docker官方镜像和Docker Cloud中付费私有仓库提供的容器业务的一项服务。
“软件业者表示,”似乎Docker生态系统正在变得更加面向企业,安全迁移和进一步安全维护的责任落在普通开发人员身上。“
“与像GitHub这样的公共仓库相比,Docker Hub可以为社区服务,”Docker安全部门负责人David Lawrence在电子邮件注册中发表声明说。
“在处理公开的公共存储库和开源代码时,我们建议您遵循一些最佳实践,包括:了解内容作者,在运行之前扫描镜像,并尽可能在Docker Hub中使用策划的官方镜像和在Docker Store中使用经过验证的内容。”
Kromtech的断言可能并不完全公平,因为Docker Security Scanning仍然可作为私人存储库实现订阅者的付费服务。有Docker商店审查镜像。Docker表示,它最终旨在为公共存储库和团队和组织提供扫描功能。
但似乎Docker面临的风险与npm等组织的不同,后者已加强安全措施以应对托管JavaScript包的重复出现的问题。
与容器相关的安全问题并不是Docker独有的。Kubernetes实例也记录了类似的攻击。攻击最常见的目标往往是利用其基于云的代码进行加密挖掘。
Docker所存在的大部分短板都受到安全问题的困扰。一个于去年发布的安全报告显示在356218个Docker Hub镜像中发现了180个安全漏洞并且急需更多的自动安全更新机制的应用。
与此同时,那些接近该公司的人认为其脆弱性计数夸大了其所面临的风险的程度。早在2015年,当时的Docker工程师JérômePetazzoni就解释说相当一部分容易受到影响的Docker Hub镜像在设计之初就容易受到攻击。
原因?可重复被创建的特性。过时的和不安全的Linux或Windows版本的镜像可能会被保留以确保使用该操作系统版本构建的容器应用程序可以被复制; 这些应用程序可能无法在更新的操作系统上运行
“对于普通用户而言,只需从DockerHub中提取Docker镜像就像从任何地方提取任意二进制数据一样,执行它,并希望获得最好的结果,而不必知道其中的具体的实现内容,”Kromtech认为。
也有人认为,几乎所有的软件下载都涉及对可执行的最好的运行结果的希望,因为代码签名可能不可靠,应用商店中的自动恶意软件扫描并不能捕捉所有内容,而平台提供商可能会让开发人员盗用多年未检测到的私人数据。
领取专属 10元无门槛券
私享最新 技术干货