作为一个具备多样化功能的开发平台,Docker Hub为Docker 镜像的开发、协作和分发开辟了许多可能性。目前,Docker Hub已经成为全球开发者首选的头号容器平台,托管着超过1500万个存储库。然而,这一平台也面临着诸多的安全挑战。根据JFrog安全研究表明,Docker Hub遭受协同攻击,被植入数百万恶意存储库。
无处不在的安全威胁
当前,使用多种开发语言已经成为行业主流模式。据JFrog中国技术总监王青介绍,以前主要靠C和C++语言一种语言就能搞定的时代已经过去,大多数企业会包含多种开发语言,并且容器化已经成为主流。
在此背景下,企业正在受到更多的安全挑战。JFrog安全研究表明,通过持续扫描所有主要公共存储库,JFrog在NPM、PyPI和NuGet注册表中发现数个恶意软件包。在Docker Hub公共存储库中,有近 20%(近300万个存储库!)托管过恶意内容,包括通过自动生成的账户上传的用于推广盗版内容的垃圾邮件,以及恶意软件和钓鱼网站等极度恶意的实体。
王青表示,JFrog在Docker Hub仓库里发现了460万个没有容器数据的Docker Hub 存储库(又名“无镜像”)。通过深入检查后发现,这些被上传的无镜像存储库,绝大多数都是带着恶意目的——它们的概述页面试图欺骗用户访问钓鱼网站或托管着危险恶意软件的网站。比如,存储库在描述中包含了几个链接,引导用户访问一个钓鱼网站。该网站欺骗毫无戒心的访问者,承诺为他们购买处方药,但随后却窃取他们的信用卡信息。
值得庆幸的是,越来越多的企业开始关注多开发工具带来的安全性问题。调研数据显示,92%的专业人士表示他们的企业至少有一个解决方案监测恶意的开源包。89%的受访者表示他们已经采用了OpenSSF SLSA的框架。
当然,仅有42%的开发人员表示最好在代码编写期间执行安全扫描,相对比例并不是非常高,因此安全左移还有很大的发展空间。
王青表示,安全左移不仅落实到开发阶段,要求开发者每天工作时候都要进行安全扫描。实际上,JFrog已经实现了这样的功能,在IDE开发工具中嵌入了扫描工具。
面对恶意攻击的应对之道
面对Docker Hub遭受的协同攻击,JFrog提供了JFrog Curation ,即“隔离仓库”的概念。当开发者在尝试下载恶意镜像时,Curation会快速地进入Docker Hub探测镜像扫描结果,立刻生成镜像扫描的漏洞报告,此时安全人员在Curation里设置隔离策略,就能从根本上保证安全的效果。
“恶意包会立刻被阻断在公司内网之外,程序员无法下载恶意包进入到组织内部。”王青告诉记者,如果不小心已经通过其他方式进入到公司内部,用户还可以开启JFrog的安全扫描,即JFrog Xray,立刻对有漏洞的镜像进行诊断。JFrog Xray扫描 “基于上下文的风险分析扫描”,能够真实地判定漏洞虽然被引入,但是不是真实被利用。只有被利用才进行阻断;如果是不被利用,不会影响组织内部的安全,就可以放行这个镜像的使用。
王青表示,JFrog安全团队调研了212个CVE样本,将85%的“严重”CVE和73% 的“高危”CVE下调了评级,这就意味着研发团队能够避免付出额外精力关注漏洞分数虚高的漏洞。与此同时,JFrog能够对漏洞进行上下文的风险分析,根据CVE对应用产生调研,判断是不是漏洞被调用,从而确认某个漏洞的评级可以下降。有了这样的“黑科技”技术之后,就可以将大部分漏洞不合理的评分进行下降,这意味着可以为开发者省下更多宝贵的开发时间,进行提升商业价值的任务活动。
据介绍,JFrog在Docker Hub里分析了最受欢迎的100个镜像,比如Tomcat、 Ubuntu、GDK这样的下载量最高的镜像,里面有很多CVSS评分的漏洞。JFrog的研究团队发现了一个重大的数据,74%的漏洞是不可被利用的。这74%经过JFrog扫描之后,显示这些漏洞可以被忽略,从而让研发从这些修复漏洞的工作中解放出来。
面对用户担心的安全扫描工具费用高、管理难等问题,JFrog通过为用户提供统一的管理平台,来减少工具的安全扫描维护和采购的成本。王青表示,作为JFrog的一大产品特点, JFrog Xray和制品库统一绑定,开发者用了JFrog的制品库,就会自动获得安全扫描能力,不需要额外购买JFrog Xray。所以,当建设好制品库之后,研发团队自动就获得了安全扫描能力。
“JFrog还有一个很大的优势,就是不限制用户数。企业一千个人使用跟一万个人使用,费用是一样的。通过这样的方式,我们切实地帮助企业在安全扫描、制品管理、供应链管理上提供高性价比的统一解决方案。”王青如是说。
谈到软件供应链参差不齐的问题,王青认为:
一是未来软件供应链的发展趋势一定是集中化,不会再像每种语言有一个单独的制品库做单独的扫描,甚至每种语言要采购单独的扫描工具去扫描。它一定是集中式的、全语言的扫描。
二是扫描一定要高效,速度要快。很多互联网企业在软件研发中一天都会发布多次,甚至一天能够有上十次的版本发布,如果漏洞扫描要花一个小时才能扫完,研发团队显然无法接受。
三是在软件供应链评级上,要有一定的标准,企业一定要去适配SLSA,要去适配安全等级,以此来保障企业软件发布处于领先地位。
in China, for China
作为亚太区增长最快的市场,JFrog提出了 “in China, for China”的中国战略。
JFrog大中华和日本地区总经理董任远告诉记者,过去几年,中国市场越来越多的基础架构类产品已经支持了国产化,其中包括了芯片、服务器、数据库以及中间件。对于JFrog来说,在中国的战略就是以更合适的解决方案适配这些产品。过去一年,JFrog已经完成了在中国全线产品针对于国产信创产品的适配,并且已经有很多客户直接将JFrog应用到其信创环境当中。
除此之外,针对中国市场特有的行业,JFrog提供了一些产品的优化以及定制化的支持。例如,针对中国汽车行业高速地发展,JFrog针对汽车行业提出了一些新的解决方案,尤其是在制品库以及在安全领域上,为了更好地满足中国企业的高速发展以及企业出海需求,JFrog都提供定制化的支持。
董任远表示,针对中国市场的客户需求,JFrog持续进行产品优化,无论客户用什么样的芯片,用什么样的操作系统,在采用JFrog产品后都可以满足最大化的性能以及效率。
