Бекітілмеген осалдықтарды анықтау және оқшауланған Docker контейнер кескіндеріндегі қауіпсіздік мәселелерін анықтау үшін тестілеу құралдарының нәтижелері. Аудит көрсеткендей, белгілі 4 Docker кескін сканерінің 6-інде сканердің өзіне тікелей шабуыл жасауға және кейбір жағдайларда (мысалы, Snyk пайдалану кезінде) түбірлік құқықтармен жүйеде оның кодының орындалуына қол жеткізуге мүмкіндік беретін маңызды осалдықтар бар.
Шабуыл жасау үшін шабуылдаушыға арнайы әзірленген метадеректерді қамтитын Dockerfile немесе manifest.json файлын тексеруді бастау керек немесе суреттің ішіне Podfile және gradlew файлдарын орналастыру керек. Прототиптерді пайдалану жүйелер үшін
, ,
и
. Пакет ең жақсы қауіпсіздікті көрсетті , бастапқыда қауіпсіздікті ескере отырып жазылған. Пакетте де проблемалар анықталмады. . Нәтижесінде Docker контейнерлік сканерлерін оқшауланған орталарда іске қосу немесе тек өздерінің кескіндерін тексеру үшін пайдалану керек және мұндай құралдарды автоматтандырылған үздіксіз интеграциялық жүйелерге қосқанда сақтық таныту керек деген қорытындыға келді.
FOSSA, Snyk және WhiteSource жүйелерінде осалдық тәуелділіктерді анықтау үшін сыртқы пакет менеджерін шақырумен байланысты болды және файлдардағы түрту және жүйелік пәрмендерді көрсету арқылы кодтың орындалуын ұйымдастыруға мүмкіндік берді. и .
Snyk және WhiteSource қосымшалары болды , Dockerfile талдауы кезінде жүйелік командаларды іске қосуды ұйымдастыру арқылы (мысалы, Snyk-те, Dockfile арқылы сканер шақырған /bin/ls утилитасын ауыстыруға болады, ал WhiteSurce-те кодты аргументтер арқылы ауыстыруға болады. пішіні “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Анкерлік осалдық утилитаны пайдалану докер кескіндерімен жұмыс істеуге арналған. Операция '"os": "$(touch hacked_anchore)"' сияқты параметрлерді manifest.json файлына қосуға дейін аяқталды, олар skopeo шақыру кезінде дұрыс қашусыз ауыстырылады (тек ";&<>" таңбалары кесілген, бірақ «$( )» құрылысы).
Дәл сол автор Docker контейнерлік қауіпсіздік сканерлерінің көмегімен түзетілмеген осалдықтарды анықтау тиімділігіне және жалған позитивтер деңгейіне зерттеу жүргізді (, , ). Төменде белгілі осалдықтары бар 73 кескінді сынау нәтижелері берілген, сонымен қатар кескіндерде (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) типтік қолданбалардың болуын анықтау тиімділігін бағалайды.
Ақпарат көзі: opennet.ru