fa'ai'uga mai meafaigāluega fa'ata'ita'iga e fa'ailoa ai fa'aletonu e le'i fa'asalaina ma fa'ailoa fa'afitauli tau puipuiga i ata tu'ufua Docker container. O le suʻega na faʻaalia ai o le 4 mai le 6 iloa Docker image scanners o loʻo i ai ni faʻafitauli ogaoga na mafai ai ona osofaʻia saʻo le scanner lava ia ma ausia le faʻatinoina o lona code i luga o le faiga, i nisi tulaga (mo se faʻataʻitaʻiga, pe a faʻaaoga Snyk) ma aia tatau.
Ina ia osofaʻia, e manaʻomia e se tagata osofaʻi ona amata se siaki o lana Dockerfile poʻo le manifest.json, lea e aofia ai metadata faʻapitoa, pe tuʻu le Podfile ma gradlew faila i totonu o le ata. Fa'aaogā fa'ata'ita'iga mo faiga
, ,
и
. O le afifi na faʻaalia le saogalemu sili , na tusia muamua ma le saogalemu i le mafaufau. E leai fo'i ni fa'afitauli na iloa ile afifi. . O le i'uga, na fa'ai'u ai e tatau ona ta'e i totonu o si'osi'omaga tu'ufua Docker pe fa'aoga na'o siaki a latou lava ata, ma e tatau ona fa'atino le fa'aeteete pe a fa'afeso'ota'i ia mea faigaluega i faiga fa'aautometi fa'aauau.
I le FOSSA, Snyk ma WhiteSource, o le faʻafitauli na fesoʻotaʻi ma le valaʻau i se pule o pusa fafo e fuafua ai faʻalagolago ma faʻatagaina oe e faʻatulagaina le faʻatinoina o lau code e ala i le faʻamaotiina o le paʻi ma le faʻatonuga i faila. и .
Snyk ma WhiteSource sa iai foi , faʻatasi ai ma le faʻatulagaina o le faʻalauiloaina o faʻatonuga pe a faʻapipiʻi se Dockerfile (mo se faʻataʻitaʻiga, i Snyk, e ala i Dockefile, na mafai ona sui le aoga / bin / ls e taʻua e le scanner, ma i WhiteSurce, na mafai ona suitulaga code e ala i finauga i totonu. le fomu “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
taula vaivai fa'aaogaina le aoga mo le galue i ata faifa'ato'aga. Fa'agaioiga fa'apipi'i i lalo i le fa'aopoopoina o fa'amaufa'ailoga e pei o le '"os": "$(touch hacked_anchore)"' i le faila manifest.json, lea e suitulaga pe a vala'au skopeo e aunoa ma le sola sa'o (na'o le ";&<>" mataitusi na tipi ese, ae o le fausiaina "$()").
O le tusitala lava lea e tasi na faia se suʻesuʻega o le aoga o le faailoaina o faʻafitauli e leʻi faʻaogaina e faʻaaoga ai le Docker container security scanners ma le maualuga o mea sese (, , ). O loʻo i lalo iʻuga o le suʻega 73 ata o loʻo i ai faʻafitauli faʻapitoa, ma iloilo foi le aoga o le fuafuaina o le i ai o faʻaoga masani i ata (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
puna: opennet.ru
