本文目录一览:
深度调查:24%的Docker镜像都存在严重漏洞
1、对标注了最新的Docker镜像进行扫描分析,24%的最新的Docker镜像具有高危和中危漏洞,其中53%具有高危漏洞。Ubuntu镜像明显比Debian镜像有着更多的漏洞。 Debian是最不易受到攻击镜像,它的高危和中危漏洞最少,只有8%,相比之下比Ubuntu的高危和中危漏洞是27%。
2、虽然Docker官方对安全问题高度重视,但由于项目侧重于社区化服务,故不可避免地存在安全漏洞。在2023年2月6日的扫描分析中,91个仓库中有24%的最新Docker镜像存在高危和中危漏洞,其中53%具有高危漏洞。Ubuntu镜像在漏洞数量上显著高于Debian,而基于RHEL的镜像则较少。
3、在深入探讨Docker安全建设之前,需先审视Docker存在的安全问题。据统计,Docker Hub上的镜像76%都存在漏洞,其中,没有漏洞的镜像仅占24%,包含高危漏洞的占67%,常见漏洞包括Httpd、Nginx、Mysql等。因此,安全防护至关重要。
4、报告分析了 10 万台 Linux 主机的 5000 多万事件,发现 15 个顶级漏洞,被广泛利用或有 PoC。这些漏洞存在于 Docker Hub 最常用 15 个 Docker 镜像中,包括 python、node、wordpress、golang、nginx、postgres 等。研究人员建议应用安全最佳实践,如安全设计、多层虚拟补丁、最小特权原则和共同责任模式。
5、镜像与容器的关系容器是通过Docker镜像启动的实例。与操作系统镜像类似,容器镜像是静态的,不具备直接提供服务的能力。只有通过Docker将镜像运行起来,容器才会成为动态的实例,提供所需的服务。镜像是容器的运行基础,没有镜像,就没有容器。
