Anledningen Hamnarbetare gick open source
På Strukturen Conference i San Francisco, Docker COO Scott Johnston talade till ZDNet om varför Docker gjort en strategisk satsning på att göra sin produkt med öppen källkod.
Jag älskar behållare. Du älskar behållare. Vi älskar alla containrar. Men är vår kärlek till dem bländande till oss det faktum att vi ofta vet inte riktigt vad som pågår inom dem? Snyk, ett open-source-säkerhetsföretag, rapporter i sitt Tillstånd av Öppen Källkod Security report 2019 att de “tio mest populära Docker bilder varje innehålla minst 30 sårbarheter.”
Fas är inte att tala om säkerhet problem med behållare tekniken i sig. Dessa problem, som nyligen upptäckt säkerhetshål i runc, behållaren runtime för Hamnarbetare och Kubernetes, existerar och att de är så allvarlig som en hjärtattack. Men långt vanligare är osäkra applikationer inom behållare.
Med hjälp av Fas behållare säkerhet scanning kommandoradsverktyget för företaget som finns i varje skannad Docker bild sårbara versioner av systemet bibliotek och andra säkerhetsproblem. Till exempel, den officiella Node.js bilden, den populära JavaScript-baserad plattform för server-side-och nätverksarbete, fartyg med 580 sårbara system bibliotek. Medan Node.js var den absolut värsta, även de bästa av dessa populära program som hade minst 30 allmänt kända sårbarheter.
Varför var detta Node.js bilden är så dålig? Enkelt:
Den nuvarande Long Term Support (LTS) versionen av den Node.js runtime version 10. Bilden märkt med 10 (dvs: nod:10) är i huvudsak ett alias till nod:10.14.2 – jessie (på den tid som vi testat det) där jessie anger en föråldrad version av Debian som inte längre är aktivt underhållna. Om du hade valt att bilden som en bas bilden i din Dockerfile, skulle du utsätta dig själv till 582 utsatta bibliotek system paketerat med bilden.
Aj!
Snyk användare, och kontrollera ett brett utbud av Docker bilder, hittade 44 procent av dem som ingår kända sårbarheter
Detta förvånar mig inte det minsta. Alltför många system-administratörer och-utvecklare utgår från att allt är kosher med den första containrar ansökan som de hittar. I sin brådska att leverera ett program eller en tjänst så snabbt som möjligt ta tag i den första containrar program som kommer till hands.
Stort misstag.
Det finns ingen säkerhet magi med containrar program. Om du installerar någon behållare med en äldre version av ett program, det är ganska mycket en bly-rör garantera att det kommer att innehålla säkerhetsfel.
Det är inte bara Hamnarbetare unionens officiella bibliotek av containrar ansökan. Fas fann 44 procent av alla Hamnarbetare bilden skannar hade kända sårbarheter.
Medan Snyk kommer att vara mer än glada att hjälpa dig att skanna din egen Docker bilder och åtgärda säkerhet hål, grundläggande fix är pinsamt enkelt: Gör och uppdatera dina egna bilder.
Eller, som Snyk uttrycker det, “fix kan vara lätt om du är medveten om. 20 procent av bilder kan åtgärda sårbarheter helt enkelt genom att bygga en docker bild, 44 procent genom att byta bas bilden.”
Snyk inte gräva upp zero day säkerhet buggar. Det är bara skanning för kända Linux bibliotek sårbarheter.
Snyk ger en riktigt bra verktyg. Jag rekommenderar det. Men om du använder utvecklare 101 säkerhet tänkande med din container-program-patch ditt program för att korrigera kända säkerhetsproblem — du kommer att göra bra.
Om du inte gör det? Tja, skurkar kommer att tacka dig, men ditt företag befattningshavare absolut inte.
Relaterade Artiklar:
Undersökningen visar på en tilltagande oro för container teknik securityDoomsday Docker säkerhetshål uncoveredIBM skyddar din cloud data container som körs under Kubernetes med kryptering
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter