သီးခြား Docker ကွန်တိန်နာပုံများတွင် လုံခြုံရေးပြဿနာများကို ရှာဖွေဖော်ထုတ်ရန် စမ်းသပ်ခြင်းကိရိယာများမှ ရလဒ်များ။ လူသိများသော Docker ရုပ်ပုံစကင်နာ 4 ခုတွင် 6 ခုတွင် စကင်နာကို တိုက်ရိုက်တိုက်ခိုက်ပြီး စနစ်ပေါ်ရှိ ၎င်း၏ကုဒ်ကို အကောင်အထည်ဖော်နိုင်စေသည့် အရေးကြီးသော အားနည်းချက်များပါရှိသည်၊ အချို့သောကိစ္စများတွင် (ဥပမာ၊ Snyk ကိုအသုံးပြုသည့်အခါ) တွင် root လုပ်ပိုင်ခွင့်များပါရှိသည်။
တိုက်ခိုက်ရန်အတွက်၊ တိုက်ခိုက်သူသည် အထူးဒီဇိုင်းထုတ်ထားသော မက်တာဒေတာများပါ၀င်သည့် ၎င်း၏ Dockerfile သို့မဟုတ် manifest.json ကို စစ်ဆေးရန်၊ သို့မဟုတ် ပုံအတွင်း၌ Podfile နှင့် ဖိုင်များကို အဆင့်မြှင့်တင်ရန် လိုအပ်သည်။ ရှေ့ပြေးပုံစံများကို အသုံးချပါ။ စနစ်များအတွက်
, ,
и
. အထုပ်သည် အကောင်းဆုံးလုံခြုံရေးကို ပြသခဲ့သည်။ မူလက လုံခြုံရေးစိတ်ဖြင့် ရေးသားထားသည်။ ပက်ကေ့ခ်ျမှာ ဘာပြဿနာမှ မတွေ့ဘူး။ . ရလဒ်အနေဖြင့်၊ Docker ကွန်တိန်နာစကင်နာများကို သီးခြားပတ်ဝန်းကျင်တွင် လုပ်ဆောင်သင့်သည် သို့မဟုတ် ၎င်းတို့၏ကိုယ်ပိုင်ပုံများကို စစ်ဆေးရန်အတွက်သာ အသုံးပြုသင့်ကြောင်း ကောက်ချက်ချခဲ့ပြီး ယင်းကိရိယာများကို အလိုအလျောက်အဆက်မပြတ်ပေါင်းစည်းမှုစနစ်များနှင့် ချိတ်ဆက်သည့်အခါ သတိထားသင့်သည်။
FOSSA၊ Snyk နှင့် WhiteSource တွင်၊ မှီခိုအားထားမှုများကို ဆုံးဖြတ်ရန် ပြင်ပပက်ကေ့ဂျ်မန်နေဂျာကို ခေါ်ဆိုခြင်းနှင့် ဆက်စပ်နေပြီး ဖိုင်များတွင် touch နှင့် စနစ်ညွှန်ကြားချက်များကို သတ်မှတ်ခြင်းဖြင့် သင့်ကုဒ်၏လုပ်ဆောင်မှုကို စုစည်းခွင့်ပြုထားသည်။ и .
Snyk နှင့် WhiteSource တို့လည်း ရှိခဲ့သည်။ , Dockerfile ကိုခွဲခြမ်းစိတ်ဖြာသည့်အခါစနစ်အမိန့်များကိုစတင်သည့်အဖွဲ့အစည်းနှင့်အတူ (ဥပမာ၊ Snyk၊ Dockefile မှတဆင့်၊ စကင်နာမှခေါ်သော /bin/ls utility ကိုအစားထိုးရန်ဖြစ်နိုင်သည်၊ WhiteSurce တွင်၊ အကြောင်းပြချက်များဖြင့်ကုဒ်ကိုအစားထိုးနိုင်သည် ပုံစံ “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′”)။
Anchore အားနည်းချက် utility ကို အသုံးပြု docker ပုံများနှင့်အလုပ်လုပ်ရန်အတွက်။ လုပ်ဆောင်ချက်သည် '"os": "$(touch hacked_anchore)"' ကဲ့သို့ ကန့်သတ်ချက်များ ပေါင်းထည့်ခြင်းမှ အကျုံးဝင်ကာ skopeo ကိုခေါ်ဆိုသည့်အခါတွင် အစားထိုးထားသော (";&<>" စာလုံးများကိုသာ ဖြတ်တောက်ခံရပြီး၊ ဒါပေမယ့် ဆောက်လုပ်ရေး "$()")။
အလားတူ စာရေးသူသည် Docker ကွန်တိန်နာလုံခြုံရေးစကင်နာများနှင့် မှားယွင်းသော အပြုသဘောအဆင့်ကို အသုံးပြု၍ မပြင်ဆင်ရသေးသော အားနည်းချက်များကို ဖော်ထုတ်ခြင်း၏ ထိရောက်မှုကို လေ့လာမှုတစ်ခု ပြုလုပ်ခဲ့သည်။, , ) အောက်တွင်ဖော်ပြထားသော အားနည်းချက်များပါရှိသော ရုပ်ပုံ 73 ခုကို စမ်းသပ်ခြင်း၏ ရလဒ်များသည် ပုံများ (nginx၊ tomcat၊ haproxy၊ gunicorn၊ redis၊ ruby၊ node) တွင် ပုံမှန်အပလီကေးရှင်းများ ရှိနေခြင်းကို ဆုံးဖြတ်ခြင်း၏ ထိရောက်မှုကိုလည်း အကဲဖြတ်ပါသည်။
source: opennet.ru