இணைக்கப்படாத பாதிப்புகளைக் கண்டறிவதற்கும், தனிமைப்படுத்தப்பட்ட டோக்கர் கொள்கலன் படங்களில் உள்ள பாதுகாப்புச் சிக்கல்களைக் கண்டறிவதற்குமான சோதனைக் கருவிகளின் முடிவுகள். அறியப்பட்ட 4 டோக்கர் இமேஜ் ஸ்கேனர்களில் 6 முக்கியமான பாதிப்புகளைக் கொண்டிருப்பதை தணிக்கை காட்டியது, இது ஸ்கேனரை நேரடியாகத் தாக்கி அதன் குறியீட்டை கணினியில் செயல்படுத்துவதை சாத்தியமாக்கியது, சில சந்தர்ப்பங்களில் (உதாரணமாக, Snyk ஐப் பயன்படுத்தும் போது) ரூட் உரிமைகளுடன்.
தாக்குவதற்கு, தாக்குபவர் தனது Dockerfile அல்லது manifest.json இன் சோதனையைத் தொடங்க வேண்டும், அதில் சிறப்பாக வடிவமைக்கப்பட்ட மெட்டாடேட்டா அடங்கும், அல்லது Podfile மற்றும் gradlew கோப்புகளை படத்தின் உள்ளே வைக்கவும். முன்மாதிரிகளைப் பயன்படுத்துங்கள் அமைப்புகளுக்கு
, ,
и
. தொகுப்பு சிறந்த பாதுகாப்பைக் காட்டியது , முதலில் பாதுகாப்பை மனதில் கொண்டு எழுதப்பட்டது. தொகுப்பிலும் எந்த பிரச்சனையும் கண்டறியப்படவில்லை. . இதன் விளைவாக, டோக்கர் கண்டெய்னர் ஸ்கேனர்கள் தனிமைப்படுத்தப்பட்ட சூழல்களில் இயக்கப்பட வேண்டும் அல்லது அவற்றின் சொந்த படங்களைச் சரிபார்க்க மட்டுமே பயன்படுத்தப்பட வேண்டும், மேலும் இதுபோன்ற கருவிகளை தானியங்கு தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளுடன் இணைக்கும்போது எச்சரிக்கையாக இருக்க வேண்டும் என்று முடிவு செய்யப்பட்டது.
FOSSA, Snyk மற்றும் WhiteSource இல், பாதிப்பு என்பது சார்புநிலைகளைத் தீர்மானிக்க வெளிப்புற தொகுப்பு மேலாளரை அழைப்பதோடு தொடர்புடையது மற்றும் கோப்புகளில் டச் மற்றும் சிஸ்டம் கட்டளைகளைக் குறிப்பிடுவதன் மூலம் உங்கள் குறியீட்டின் செயல்பாட்டை ஒழுங்கமைக்க அனுமதித்தது. и .
Snyk மற்றும் WhiteSource கூடுதலாக இருந்தது , ஒரு Dockerfile ஐ பாகுபடுத்தும் போது கணினி கட்டளைகளை துவக்கும் அமைப்புடன் (உதாரணமாக, Snyk இல், DockFile மூலம், ஸ்கேனர் மூலம் அழைக்கப்படும் /bin/ls பயன்பாட்டை மாற்ற முடிந்தது, மேலும் WhiteSurce இல், வாதங்கள் மூலம் குறியீட்டை மாற்றியமைக்க முடிந்தது. வடிவம் “எக்கோ ';டச் /tmp/hacked_whitesource_pip;=1.0 ′").
நங்கூரம் பாதிப்பு பயன்பாட்டை பயன்படுத்தி டோக்கர் படங்களுடன் வேலை செய்வதற்கு. மெனிஃபெஸ்ட்.json கோப்பில் '"os": "$(touch hacked_anchore)"' போன்ற அளவுருக்களைச் சேர்ப்பதில் செயல்பாடு வேகப்படுத்தப்பட்டது, அவை ஸ்கோப்பியோவை அழைக்கும் போது சரியாக தப்பிக்காமல் மாற்றப்படும் (";&<>" எழுத்துக்கள் மட்டுமே வெட்டப்பட்டன, ஆனால் கட்டுமானம் "$( )").
அதே ஆசிரியர் டோக்கர் கொள்கலன் பாதுகாப்பு ஸ்கேனர்களைப் பயன்படுத்தி இணைக்கப்படாத பாதிப்புகளைக் கண்டறிவதன் செயல்திறன் மற்றும் தவறான நேர்மறைகளின் அளவைப் பற்றிய ஆய்வை நடத்தினார் (, , ) அறியப்பட்ட பாதிப்புகளைக் கொண்ட 73 படங்களைச் சோதித்ததன் முடிவுகள் கீழே உள்ளன, மேலும் படங்களில் (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) வழக்கமான பயன்பாடுகளின் இருப்பைக் கண்டறிவதன் செயல்திறனை மதிப்பீடு செய்யவும்.
ஆதாரம்: opennet.ru