جاچ جا اوزار جا نتيجا اڻڄاتل خطرن کي سڃاڻڻ ۽ الڳ ٿيل ڊاکر ڪنٽينر تصويرن ۾ سيڪيورٽي مسئلن جي نشاندهي ڪرڻ لاءِ. آڊٽ ظاهر ڪيو ته 4 مان 6 سڃاتل ڊاڪر تصويري اسڪينرز ۾ نازڪ خاميون شامل آهن جن کي ممڪن بڻايو ويو ته سڌو سنئون اسڪينر تي حملو ڪيو وڃي ۽ سسٽم تي ان جي ڪوڊ جي عمل کي حاصل ڪرڻ، ڪجهه حالتن ۾ (مثال طور، جڏهن Snyk استعمال ڪندي) روٽ حقن سان.
حملو ڪرڻ لاءِ، هڪ حملي آور کي صرف پنهنجي Dockerfile يا manifest.json جي چيڪ ڪرڻ جي ضرورت آهي، جنهن ۾ خاص طور تي ٺهيل ميٽا ڊيٽا شامل آهي، يا تصوير جي اندر Podfile ۽ gradlew فائلون رکي. پروٽوٽائپ جو استحصال ڪريو سسٽم لاء
, ,
и
. پيڪيج بهترين سيڪيورٽي ڏيکاريو ، اصل ۾ سيڪيورٽي کي ذهن ۾ رکندي لکيو ويو آهي. پيڪيج ۾ ڪو به مسئلو نه سڃاتو ويو. . نتيجي طور، اهو نتيجو ڪيو ويو ته Docker ڪنٽينر اسڪينر کي الڳ ٿيل ماحول ۾ هلائڻ گهرجي يا صرف انهن جي پنهنجي تصويرن کي جانچڻ لاء استعمال ڪيو وڃي، ۽ اهو احتياط استعمال ڪيو وڃي جڏهن اهڙي اوزار کي خودڪار مسلسل انضمام سسٽم سان ڳنڍڻ گهرجي.
FOSSA، Snyk ۽ WhiteSource ۾، خطري جو تعلق خارجي پيڪيج مئنيجر کي ڪال ڪرڻ سان هو انحصار جو تعين ڪرڻ لاءِ ۽ توهان کي اجازت ڏني وئي ته توهان جي ڪوڊ جي عمل کي ترتيب ڏيو فائلن ۾ ٽچ ۽ سسٽم ڪمانڊ بيان ڪندي и .
Snyk ۽ WhiteSource اضافي طور تي هئا , سسٽم ڪمانڊ لانچ ڪرڻ جي تنظيم سان جڏهن Dockerfile کي پارس ڪيو وڃي (مثال طور، Snyk ۾، Dockfile ذريعي، اهو ممڪن هو بدلي ڪرڻ ممڪن هو /bin/ls يوٽيليٽي کي جنهن کي اسڪينر سڏيو وڃي ٿو، ۽ WhiteSurce ۾، اهو ممڪن هو ته ڪوڊ کي متبادل طور تي دليلن ذريعي. فارم "گونج؛ ٽچ /tmp/hacked_whitesource_pip؛ = 1.0 ′").
لنگر جي ڪمزوري افاديت استعمال ڪندي docker تصويرن سان ڪم ڪرڻ لاء. Manifest.json فائل ۾ '"os": "$(touch hacked_anchore)"' جهڙا پيرا ميٽر شامل ڪرڻ لاءِ آپريشن تيز ٿي ويو، جيڪي skopeo کي ڪال ڪرڻ وقت بدلجي ويندا آهن بغير مناسب فرار جي (صرف ";&<>" اکر ڪٽيا ويا، پر تعمير "$()").
ساڳئي ليکڪ ڊاڪر ڪنٽينر سيڪيورٽي اسڪينر استعمال ڪندي اڻڄاتل خطرن جي نشاندهي ڪرڻ جي اثرائتي جو مطالعو ڪيو ۽ غلط مثبت جي سطح (, , ). هيٺ ڏنل 73 تصويرن جي جاچ جا نتيجا آهن جن ۾ ڄاڻايل خطرات شامل آهن، ۽ تصويرن ۾ عام ايپليڪيشنن جي موجودگي کي طئي ڪرڻ جي اثرائتي جو جائزو وٺو (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
جو ذريعو: opennet.ru