toraidhean bho innealan deuchainn gus so-leòntachd neo-leasaichte a chomharrachadh agus cùisean tèarainteachd a chomharrachadh ann an ìomhaighean aonaranach Docker container. Sheall an sgrùdadh gu robh so-leòntachd èiginneach ann an 4 a-mach à 6 sganaran ìomhaigh Docker aithnichte a leig leis ionnsaigh a thoirt air an sganair fhèin gu dìreach agus coileanadh a chòd air an t-siostam, ann an cuid de chùisean (mar eisimpleir, nuair a bha iad a’ cleachdadh Snyk) le còraichean freumha.
Gus ionnsaigh a thoirt, feumaidh neach-ionnsaigh dìreach sgrùdadh a dhèanamh air an Dockerfile no manifest.json aige, a tha a’ toirt a-steach meata-dàta a chaidh a dhealbhadh gu sònraichte, no faidhlichean Podfile agus gradlew a chuir am broinn na h-ìomhaigh. Cleachd prototypes airson siostaman
, ,
и
. Sheall am pasgan an tèarainteachd as fheàrr , air a sgrìobhadh an toiseach le tèarainteachd san amharc. Cha deach duilgheadasan sam bith a chomharrachadh sa phacaid nas motha. . Mar thoradh air an sin, chaidh co-dhùnadh gum bu chòir sganaran soithichean Docker a bhith air an ruith ann an àrainneachdan iomallach no air an cleachdadh a-mhàin gus na h-ìomhaighean aca fhèin a sgrùdadh, agus gum bu chòir a bhith faiceallach nuair a bhios tu a’ ceangal innealan mar sin ri siostaman amalachaidh leantainneach fèin-ghluasadach.
Ann am FOSSA, Snyk agus WhiteSource, bha an so-leòntachd co-cheangailte ri bhith a’ gairm manaidsear pacaid taobh a-muigh gus eisimeileachd a dhearbhadh agus leig e leat coileanadh do chòd a chuir air dòigh le bhith a’ sònrachadh òrdughan suathaidh is siostaim ann am faidhlichean и .
Bha aig Snyk agus WhiteSource cuideachd , le eagrachadh òrdughan siostam a chuir air bhog nuair a bhathas a’ parsadh Dockerfile (mar eisimpleir, ann an Snyk, tro Dockefile, bha e comasach an goireas / bin/ls ris an canar an sganair a chuir na àite, agus ann an WhiteSurce, bha e comasach còd a chuir na àite tro argamaidean ann an am foirm “echo’; touch / tmp/hacked_whitesource_pip;=1.0 ′”).
So-leòntachd acair a’ cleachdadh a’ ghoireas airson a bhith ag obair le dealbhan docker. Chaidh obrachadh a-mach gu bhith a' cur paramadairean mar '"os": "$(touch hacked_anchore)"' ris an fhaidhle manifest.json, a thèid a chur na àite nuair a chuireas tu fòn gu skopeo gun teicheadh ceart (cha deach ach na caractaran ";&<>" a ghearradh a-mach, ach an togail "$( )").
Rinn an aon ùghdar sgrùdadh air èifeachdas a bhith a’ comharrachadh so-leòntachd nach deach atharrachadh le bhith a’ cleachdadh sganairean tèarainteachd container Docker agus an ìre de nithean ceàrr (, , ). Gu h-ìosal tha toraidhean deuchainn ìomhaighean 73 anns a bheil so-leòntachd aithnichte, agus cuideachd dèan measadh air èifeachdas a bhith a’ dearbhadh làthaireachd thagraidhean àbhaisteach ann an ìomhaighean (nginx, tomcat, haproxy, gunicorn, redis, ruby, nóde).
Source: fosgailtenet.ru