Тусгаарлагдсан Docker контейнерийн зургуудын засваргүй эмзэг байдлыг тодорхойлох, аюулгүй байдлын асуудлуудыг тодорхойлох туршилтын хэрэгслүүдийн үр дүн. Шалгалтаар мэдэгдэж буй 4 Docker дүрс сканнерын 6 нь чухал сул талуудтай болохыг харуулсан бөгөөд энэ нь сканнер руу шууд халдаж, зарим тохиолдолд (жишээ нь, Snyk-г ашиглах үед) үндсэн эрхтэйгээр систем дээр түүний кодыг гүйцэтгэх боломжийг олгодог.
Халдагчид довтлохын тулд тусгайлан боловсруулсан мета өгөгдлийг агуулсан Dockerfile эсвэл manifest.json-г шалгах эсвэл зураг дотор Podfile болон gradlew файлуудыг байрлуулах хэрэгтэй. Прототипүүдийг ашиглах системүүдийн хувьд
, ,
и
. Багц нь хамгийн сайн хамгаалалтыг харуулсан , анх аюулгүй байдлын үүднээс бичсэн. Мөн багцад ямар ч асуудал илрээгүй. . Үүний үр дүнд Docker контейнерийн сканнеруудыг тусгаарлагдсан орчинд ажиллуулах эсвэл зөвхөн өөрийн зургийг шалгахад ашиглах ёстой бөгөөд ийм хэрэгслийг автоматжуулсан тасралтгүй интеграцийн системд холбохдоо болгоомжтой байх хэрэгтэй гэж дүгнэсэн.
FOSSA, Snyk болон WhiteSource-д энэ эмзэг байдал нь хамаарлыг тодорхойлохын тулд гадны багц менежер рүү залгахтай холбоотой байсан бөгөөд файл дахь мэдрэгч болон системийн командуудыг зааж өгөх замаар кодын гүйцэтгэлийг зохион байгуулах боломжийг олгосон. и .
Snyk болон WhiteSource-д нэмж байсан , Dockerfile-г задлан шинжлэх үед системийн командуудыг ажиллуулах зохион байгуулалттайгаар (жишээлбэл, Snyk-д Dockfile-ээр дамжуулан сканнерийн дуудсан /bin/ls хэрэгслийг солих боломжтой байсан ба WhiteSurce-д аргументуудаар кодыг орлуулах боломжтой байсан. хэлбэр "echo '; touch /tmp/hacked_whitesource_pip;=1.0 ′").
Зангуугийн эмзэг байдал хэрэгслийг ашиглан докерын зурагтай ажиллахад зориулагдсан. '"os": "$(touch hacked_anchore)"' гэх мэт параметрүүдийг manifest.json файлд нэмэх хүртэл үйлдлийг гүйцэтгэсэн бөгөөд skopeo-г зөв дуудах үед орлуулагддаг (зөвхөн ";&<>" тэмдэгтүүд хасагдсан, гэхдээ "$( )" бүтээн байгуулалт).
Ижил зохиогч Docker контейнерийн аюулгүй байдлын сканнер ашиглан засварлагдаагүй эмзэг байдлыг тодорхойлох үр дүнтэй судалгаа, хуурамч эерэг байдлын түвшинг судалжээ (, , ). Мэдэгдэж буй эмзэг байдлыг агуулсан 73 зургийг туршиж үзсэний үр дүнг доор харуулав, мөн зураг дээрх ердийн програмууд (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) байгаа эсэхийг тодорхойлох үр дүнтэй байдлыг үнэлнэ.
Эх сурвалж: opennet.ru