د ازموینې وسیلو پایلې د نه پیچلي زیانونو پیژندلو او په جلا شوي ډاکر کانټینر عکسونو کې د امنیت مسلې پیژندلو لپاره. پلټنې وښودله چې د 4 پیژندل شوي ډاکر عکس سکینرونو څخه 6 یې جدي زیانونه لري چې دا یې ممکنه کړې چې پخپله سکینر مستقیم برید وکړي او په سیسټم کې د دې کوډ اجرا کول ترلاسه کړي ، په ځینو مواردو کې (د مثال په توګه ، کله چې د Snyk کارول) د ریښو حقونو سره.
د برید کولو لپاره، برید کوونکی په ساده ډول د خپل Dockerfile یا manifest.json چک پیل کولو ته اړتیا لري، کوم چې په ځانګړي ډول ډیزاین شوي میټاډاټا پکې شامل دي، یا د عکس دننه د پوډ فایل او ګریډل فایلونه ځای په ځای کړي. د پروټوټایپونو څخه ګټه پورته کړئ د سیسټمونو لپاره
, ,
и
. کڅوړه غوره امنیت ښودلی ، په اصل کې د امنیت په پام کې نیولو سره لیکل شوی. په کڅوړه کې هم کومه ستونزه نده پیژندل شوې. . د پایلې په توګه، دا پایله شوه چې د ډاکر کانټینر سکینرونه باید په جلا چاپیریال کې چلول شي یا یوازې د خپلو عکسونو چک کولو لپاره کارول کیږي، او دا احتیاط باید وکارول شي کله چې دا ډول وسایل د اتوماتیک دوامداره ادغام سیسټمونو سره وصل شي.
په FOSSA، Snyk او WhiteSource کې، زیانمنتیا د انحصار معلومولو لپاره د بهرني کڅوړې مدیر ته زنګ وهلو سره تړاو درلود او تاسو ته اجازه درکوي په فایلونو کې د ټچ او سیسټم کمانډونو مشخص کولو سره د خپل کوډ اجرا کول تنظیم کړئ. и .
Snyk او WhiteSource هم درلود , د سیسټم کمانډ لانچ کولو تنظیم سره کله چې د ډاکر فایل پارس کول (د مثال په توګه ، په Snyk کې ، د Dockfile له لارې ، دا ممکنه وه چې د سکینر لخوا ویل شوي /bin/ls یوټیلیټ ځای په ځای کړئ ، او په وایټ سورس کې ، دا ممکنه وه چې د دلیلونو له لارې کوډ بدل کړئ. فورمه "echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
د لنگر زیانمنتیا د افادیت په کارولو سره د ډاکر عکسونو سره کار کولو لپاره. د manifest.json فایل ته د پیرامیټرونو اضافه کولو لپاره عملیات لکه د '"os": "$(touch hacked_anchore)"" اضافه کولو لپاره جوش شوي، کوم چې د سکوپیو غږولو په وخت کې د مناسب فرار پرته بدلیږي (یوازې "؛&<>" حروف پرې شوي، مګر ساختمان "$()").
ورته لیکوال د ډاکر کانټینر امنیت سکینرونو په کارولو سره د ناپیل شوي زیانونو پیژندلو اغیزې مطالعه ترسره کړې او د غلط مثبتو کچه (, , ). لاندې د 73 انځورونو ازموینې پایلې دي چې پیژندل شوي زیانمنونکي لري، او همدارنګه په انځورونو کې د عادي غوښتنلیکونو شتون (nginx، tomcat، haproxy، gunicorn، redis، ruby، node) د ټاکلو اغیزمنتوب ارزونه کوي.
سرچینه: opennet.ru