արդյունքները փորձարկման գործիքներից՝ չփակված խոցելիությունները հայտնաբերելու և Docker կոնտեյների մեկուսացված պատկերներում անվտանգության խնդիրները հայտնաբերելու համար: Աուդիտը ցույց է տվել, որ հայտնի 4 Docker պատկերի սկաներներից 6-ը պարունակում են կարևոր խոցելիություններ, որոնք հնարավորություն են տվել ուղղակիորեն հարձակվել սկաների վրա և հասնել դրա կոդի կատարմանը համակարգում, որոշ դեպքերում (օրինակ՝ Snyk-ն օգտագործելիս) արմատային իրավունքներով:
Հարձակման համար հարձակվողը պարզապես պետք է ստուգի իր Dockerfile-ը կամ manifest.json-ը, որը ներառում է հատուկ մշակված մետատվյալներ, կամ տեղադրել Podfile և gradlew ֆայլերը պատկերի ներսում: Շահագործել նախատիպերը համակարգերի համար
, ,
и
. Փաթեթը ցույց տվեց լավագույն անվտանգությունը , սկզբնապես գրված է անվտանգության նկատառումներով: Փաթեթում նույնպես խնդիրներ չեն հայտնաբերվել։ . Արդյունքում, եզրակացություն է արվել, որ Docker կոնտեյներային սկաներները պետք է գործարկվեն մեկուսացված միջավայրերում կամ օգտագործվեն միայն սեփական պատկերները ստուգելու համար, և որ պետք է զգուշություն ցուցաբերել նման գործիքները ավտոմատացված շարունակական ինտեգրման համակարգերին միացնելիս:
FOSSA-ում, Snyk-ում և WhiteSource-ում խոցելիությունը կապված էր արտաքին փաթեթների կառավարչի կանչի հետ՝ կախվածությունը որոշելու համար և թույլ տվեց ձեզ կազմակերպել ձեր կոդի կատարումը՝ նշելով հպման և համակարգի հրամանները ֆայլերում: и .
Snyk-ը և WhiteSource-ը լրացուցիչ ունեին , Dockerfile-ը վերլուծելիս համակարգի հրամանների գործարկման կազմակերպմամբ (օրինակ, Snyk-ում Dockfile-ի միջոցով հնարավոր եղավ փոխարինել սկաների կողմից կանչված /bin/ls կոմունալը, իսկ WhiteSurce-ում հնարավոր եղավ փոխարինել կոդը արգումենտների միջոցով. «echo ';touch /tmp/hacked_whitesource_pip;=1.0'» ձևը:
Խարիսխի խոցելիություն օգտագործելով կոմունալ docker պատկերների հետ աշխատելու համար: Գործողությունը հանգեցրեց «os»-ի նման պարամետրերի ավելացմանը՝ «$(touch hacked_anchore)»' manifest.json ֆայլին, որոնք փոխարինվում են skopeo-ն զանգահարելիս՝ առանց պատշաճ փախուստի (միայն «;&<>» նիշերը կտրված էին, բայց «$( )» կոնստրուկցիան):
Նույն հեղինակը կատարել է Docker կոնտեյներային անվտանգության սկաներների օգտագործմամբ չկարկարկված խոցելիության հայտնաբերման արդյունավետության և կեղծ պոզիտիվների մակարդակի ուսումնասիրություն (, , ) Ստորև բերված են հայտնի խոցելիություններ պարունակող 73 պատկերների փորձարկման արդյունքները, ինչպես նաև գնահատում են նկարներում բնորոշ հավելվածների առկայությունը որոշելու արդյունավետությունը (nginx, tomcat, haproxy, gunicorn, redis, ruby, node):
Source: opennet.ru