De reden Docker ging open source
Bij de Structuur-Conferentie in San Francisco, Koppelvenster COO Scott Johnston sprak ZDNet over de reden waarom het Koppelvenster een strategische inzet op het maken van het product open source.
Ik hou van containers. U houdt van containers. We houden allemaal van containers. Maar is onze liefde voor hen verblindt ons het feit dat we vaak niet echt weten wat er binnen? Snyk, een open-source security bedrijf, verslagen in de Staat van Open Source Security-rapport 2019 dat de “top tien van de meest populaire Docker beelden bevatten elk ten minste 30 kwetsbaarheden.”
Synk niet over de beveiliging problemen met container-technologie zelf. Deze problemen, zoals de recent ontdekte gat in de beveiliging in runc, de container runtime voor Docker en Kubernetes, bestaan en zij zijn zo ernstig als een hartaanval. Maar veel vaker zijn onveilige toepassingen in containers.
Met behulp van Synk de container security scannen commando-regel gereedschap, het bedrijf gevonden in elke gescande Docker afbeelding kwetsbare versies van bibliotheken en andere veiligheidsproblemen. Bijvoorbeeld, de officiële Node.js beeld, de populaire JavaScript-gebaseerd platform voor server-side en networking-toepassingen, schepen met 580 kwetsbaar systeem bibliotheken. Terwijl Node.js was veruit de slechtste geval, zelfs de beste van deze populaire programma ‘ s hadden minstens 30 publiekelijk bekende kwetsbaarheden.
Waarom was dit Node.js beeld zo slecht? Simpel:
De huidige, Lange Termijn Ondersteuning (LTS) versie van de Node.js runtime versie 10. Het beeld is gecodeerd met 10 (namelijk: node:10) is in wezen een alias naar knooppunt:10.14.2 – jessie (op het moment dat we het getest) waar jessie geeft een verouderde versie van Debian die is niet meer actief bijgehouden. Als u gekozen had voor die afbeelding als een basis afbeelding in uw Dockerfile, zou je bloot aan 582 kwetsbaar systeem bibliotheken gebundeld met de afbeelding.
Ouch!
Snyk gebruikers controleren van een breed scala van Docker afbeeldingen gevonden 44 procent van hen opgenomen bekende kwetsbaarheden
Dit verbaast me niet in het minst. Veel te veel systeembeheerders en ontwikkelaars gaan ervan uit dat alles koosjer is met de eerste container toepassing vinden ze. In hun haast om het leveren van een toepassing of service zo snel mogelijk grijpen ze de eerste container-programma dat geleverd wordt aan de hand.
Grote fout.
Er is geen beveiliging magie met container-toepassingen. Als u een container met een oudere versie van een applicatie, het is vrij veel een lead-pipe garantie dat het zal bevatten security bugs.
Het is niet alleen Docker de officiële bibliotheek van gecontaineriseerde toepassing. Synk gevonden 44 procent van alle Docker afbeelding scant had bekende kwetsbaarheden.
Terwijl Snyk zullen meer dan blij zijn om u te helpen bij het scannen van uw eigen Docker beelden en de sanering van gaten in de beveiliging, de fundamentele oplossing is pijnlijk eenvoudig: Maak uw eigen beelden.
Of, als Snyk zegt, de “fix kan gemakkelijk zijn als je je bewust bent. 20 procent van beelden kan bij het oplossen van kwetsbaarheden gewoon door de reconstructie van een dokwerker beeld, 44 procent door het omwisselen van de basis-beeld.”
Snyk niet met het rooien van het zero day security bugs. Het is gewoon scannen op bekende Linux bibliotheek kwetsbaarheden.
Snyk biedt een echt handige tool. Ik beveel het. Maar als je ontwikkelaar 101 veiligheid denken met je container-toepassingen-patch voor je programma ‘ s op te lossen bekende security bugs — je zal het prima doen.
Als je het niet? Goed, oplichters zullen u dankbaar zijn, maar uw leidinggevenden zeker niet.
Verwante Artikelen:
Enquête toont een groeiende bezorgdheid over de container-technologie securityDoomsday Docker gat in de beveiliging uncoveredIBM beschermt uw cloud container gegevens uitgevoerd onder Kubernetes met encryptie
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters