Grunden til Docker gik open source
På den Struktur Konference i San Francisco, Dokker COO Scott Johnston talte til ZDNet om, hvorfor Lader lavet en strategisk satsning på at gøre sit produkt open source.
Jeg elsker beholdere. Du elsker beholdere. Vi elsker alle beholdere. Men er vores kærlighed til dem blænder os, at vi ofte ikke rigtig ved, hvad der kører i dem? Snyk, en open-source sikkerhed selskab, rapporter i sin Tilstand af Open Source Security report 2019, at “top-ti over de mest populære Docker billeder, der hver indeholder mindst 30 sårbarheder.”
Synk ikke er tale om sikkerhedsmæssige problemer med container teknologi i sig selv. De problemer, som den nyligt opdagede sikkerhedshul i runc, beholderen runtime for Dokker og Kubernetes, der eksisterer, og de er så alvorligt som et hjerteanfald. Men langt mere almindeligt er usikre applikationer inden for containere.
Brug Synk ‘ s container sikkerhed scanning af kommandolinje-værktøj, virksomheden findes i alle scannede Docker billede sårbare versioner af systemet, biblioteker og andre sikkerhedsproblemer. For eksempel, den officielle Node.js billede, det populære JavaScript-baseret platform for server-side-og netværksapplikationer, skibe med 580 sårbare system biblioteker. Mens Node.js var langt den værste, selv de bedste af disse populære programmer havde mindst 30 offentligt kendte sårbarheder.
Hvorfor var denne Node.js billedet er så slemt? Simple:
Den nuværende Long Term Support (LTS) version af Node.js runtime version 10. Billedet mærket med 10 (dvs: node:10) er i det væsentlige et alias til node:10.14.2 – jessie (på den tid, som vi har testet det), hvor jessie angiver en forældet version af Debian, som ikke længere er aktivt vedligeholdt. Hvis du havde valgt dette billede som en base billede i din Dockerfile, du vil udsætte dig selv for at 582 sårbare system biblioteker sammen med billedet.
Ouch!
Snyk-brugere, som tjekker en bred vifte af Docker billeder, fandt 44 procent af dem, der er indeholdt kendte sårbarheder
Dette overrasker mig ikke det mindste. Alt for mange systemadministratorer og udviklere antage, at alt, hvad der er kosher med den første container-program, de finder. I deres haste til at levere en applikation eller tjeneste så hurtigt som muligt, så griber de den første container-program, der kommer til side.
Stor fejl.
Der er ingen sikkerhed magic med container-applikationer. Hvis du installerer en beholder med en ældre version af en applikation, det er temmelig meget en bly-rør garantere, at det vil indeholde sikkerhedsfejl.
Det er ikke bare Docker ‘ s officielle bibliotek af containertransport ansøgning. Synk fundet 44 procent af alle Docker billede scanninger havde kendte sårbarheder.
Mens Snyk vil være mere end glade for at hjælpe dig med at scanne din egen Docker billeder og udbedre huller i sikkerheden, den grundlæggende fix er pinligt let: Lave og opdatere dine egne billeder.
Eller, som Snyk udtrykker det, “fix kan være let, hvis du er klar. 20 procent af billeder, der kan rette sårbarheder, blot ved at genopbygge en dokker billede, 44 procent ved at bytte base-aftryk.”
Snyk er ikke at grave op zero day sikkerhed bugs. Det er bare scanning for kendte Linux bibliotek sårbarheder.
Snyk giver et rigtig nyttigt værktøj. Jeg anbefaler det. Men hvis du bruger udvikler 101 sikkerhed til at tænke med din container-programmer — patch dine programmer til at løse kendte sikkerhedsfejl — du vil gøre netop bøde.
Hvis du ikke? Nå, skurke vil takke dig, men din virksomhed kontaktpersoner bestemt ikke.
Relaterede Historier:
Undersøgelse afslører, at en voksende bekymring om container teknologi securityDoomsday Docker sikkerhedshul uncoveredIBM beskytter din cloud container data, der kører under Kubernetes med kryptering
Relaterede Emner:
Linux
Sikkerhed-TV
Data Management
CXO
Datacentre