Yashirilmagan zaifliklarni aniqlash va izolyatsiyalangan Docker konteyner tasvirlarida xavfsizlik muammolarini aniqlash uchun sinov vositalaridan olingan natijalar. Audit shuni ko'rsatdiki, ma'lum bo'lgan 4 ta Docker tasvir skaneridan 6 tasida skanerning o'ziga to'g'ridan-to'g'ri hujum qilish va ba'zi hollarda (masalan, Snyk-dan foydalanganda) ildiz huquqlari bilan tizimda uning kodini bajarishga erishish imkonini beradigan muhim zaifliklar mavjud.
Hujum qilish uchun tajovuzkor maxsus ishlab chiqilgan metama'lumotlarni o'z ichiga olgan Dockerfile yoki manifest.json faylini tekshirishni boshlashi yoki Podfile va gradlew fayllarini rasm ichiga joylashtirishi kerak. Prototiplardan foydalanish tizimlari uchun
, ,
ΠΈ
. Paket eng yaxshi xavfsizlikni ko'rsatdi , dastlab xavfsizlikni hisobga olgan holda yozilgan. Paketda ham muammolar aniqlanmadi. . Natijada, Docker konteyner skanerlari izolyatsiya qilingan muhitda ishlashi yoki faqat o'z rasmlarini tekshirish uchun ishlatilishi kerak va bunday vositalarni avtomatlashtirilgan uzluksiz integratsiya tizimlariga ulashda ehtiyot bo'lish kerak degan xulosaga keldi.
FOSSA, Snyk va WhiteSource-da zaiflik bog'liqlikni aniqlash uchun tashqi paket menejerini chaqirish bilan bog'liq edi va fayllardagi teginish va tizim buyruqlarini ko'rsatish orqali kodingiz bajarilishini tashkil qilish imkonini berdi. ΠΈ .
Snyk va WhiteSource qo'shimcha ravishda mavjud edi , Dockerfile-ni tahlil qilishda tizim buyruqlarini ishga tushirishni tashkil qilish bilan (masalan, Snyk-da, Dockfile orqali skaner tomonidan chaqirilgan /bin/ls yordam dasturini almashtirish mumkin edi va WhiteSurce-da kodni argumentlar orqali almashtirish mumkin edi. shakli "echo ';touch /tmp/hacked_whitesource_pip;=1.0 β²").
Ankrajning zaifligi yordam dasturidan foydalanish docker tasvirlari bilan ishlash uchun. Operatsiya manifest.json fayliga '"os": "$(touch hacked_anchore)"' kabi parametrlarni qo'shish bilan yakunlandi, ular skopeo chaqirilganda to'g'ri qochishsiz almashtiriladi (faqat ";&<>" belgilari kesilgan, lekin qurilish "$( )").
Xuddi shu muallif Docker konteyner xavfsizligi skanerlari yordamida tuzatilmagan zaifliklarni aniqlash samaradorligi va noto'g'ri pozitivlar darajasini o'rganishni o'tkazdi (, , ). Quyida ma'lum zaifliklarni o'z ichiga olgan 73 ta rasmni sinovdan o'tkazish natijalari, shuningdek, tasvirlarda (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) tipik ilovalar mavjudligini aniqlash samaradorligini baholang.
Manba: opennet.ru