vokatra azo avy amin'ny fitaovana fitiliana hamantarana ireo fahalemena tsy voafehy ary hamantarana ny olana momba ny fiarovana amin'ny sary mitokana Docker container. Ny fanaraha-maso dia naneho fa ny 4 amin'ny 6 fantatra amin'ny scanner sary Docker dia misy vulnerabilities manan-danja izay nahatonga ny fanafihana mivantana ny scanner ary ny fanatanterahana ny code ao amin'ny rafitra, amin'ny tranga sasany (ohatra, rehefa mampiasa Snyk) miaraka amin'ny zon'ny faka.
Raha hanafika dia mila manomboka manamarina ny Dockerfile na manifest.json ny mpanafika, izay ahitana metadata natao manokana, na mametraka ny rakitra Podfile sy gradlew ao anaty sary. Manararaotra ny prototypes ho an'ny rafitra
, ,
ΠΈ
. Nasehon'ilay fonosana ny fiarovana tsara indrindra , nosoratana tamin'ny voalohany mba ho fiarovana ao an-tsaina. Tsy nisy olana hita tao anatin'ilay fonosana koa. . Vokatr'izany dia notsoahina fa ny scanner container Docker dia tokony halefa any amin'ny tontolo mitoka-monina na ampiasaina hanamarinana ny sariny ihany, ary tokony hampiharina ny fitandremana rehefa mampifandray ireo fitaovana ireo amin'ny rafitra fampidirana mitohy mandeha ho azy.
Ao amin'ny FOSSA, Snyk ary WhiteSource, ny vulnerability dia mifandray amin'ny fiantsoana mpitantana fonosana ivelany mba hamaritana ny fiankinan-doha ary mamela anao handamina ny fanatanterahana ny kaody anao amin'ny famaritana ny baikon'ny fikasihana sy ny rafitra ao anaty rakitra. ΠΈ .
Snyk sy WhiteSource koa dia nanana , miaraka amin'ny fandaminana ny baikon'ny rafitra amin'ny fandefasana ny Dockerfile (ohatra, amin'ny Snyk, amin'ny alΓ lan'ny Dockefile, azo atao ny manolo ny utility / bin / ls antsoina amin'ny scanner, ary ao amin'ny WhiteSurce dia azo atao ny manolo ny code amin'ny alΓ lan'ny tohan-kevitra amin'ny ny endrika βecho ';touch /tmp/hacked_whitesource_pip;=1.0 β²").
Faharefoana vatofantsika mampiasa ny utility mba hiasa amin'ny sary docker. Ny fampandehanana dia nipoitra tamin'ny fampidirana masontsivana toy ny '"os": "$(touch hacked_anchore)"' amin'ny rakitra manifest.json, izay soloina rehefa miantso skopeo nefa tsy mitsoaka araka ny tokony ho izy (ny tarehintsoratra ";&<>" ihany no tapaka, fa ny fanorenana "$()").
Io mpanoratra io ihany dia nanao fanadihadiana momba ny fahombiazan'ny famantarana ny fahalemena tsy voafehy amin'ny fampiasana scanner fiarovana amin'ny container Docker sy ny haavon'ny vokatra diso (, , ). Ireto ambany ireto ny valin'ny fitsapana sary 73 misy vulnerabilities fantatra, ary manombana ihany koa ny fahombiazan'ny famaritana ny fisian'ny fampiharana mahazatra amin'ny sary (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Source: opennet.ru