据NetRise称,容器是软件供应链中增长最快且网络安全最薄弱的环节。
各公司在努力确保容器安全方面颇费周折。从配置不当的云、容器和网络,到在整个软件生命周期中容器安全归属问题的不确定性,这些问题一直存在,然而,根据2022年Anchore的一份报告,企业计划在未来24个月内扩大对容器的采用,其中88%的企业计划增加容器的使用,31%的企业计划大幅增加容器的使用。
然而,到了2024年,我们开始看到人们认识到了容器安全问题,Red Hat最近的一份报告显示,67%的组织由于与容器和Kubernetes相关的安全问题而延迟或放缓了应用程序的部署。
依赖容器化应用带来网络安全挑战
对容器化应用的日益依赖带来了两个网络安全挑战:
• 需要保持对容器中详细软件组件及其来源的可见性;
• 需要识别和优先处理容器组件中的漏洞和风险。
NetRise的研究人员从Docker Hub上下载量最高的250个镜像中随机选择了70个容器镜像进行分析,并生成了一份详细的软件材料清单(SBOM)。他们发现,平均每个容器镜像包含389个软件组件。
研究人员发现,八分之一的组件没有软件清单——它们缺乏通常在清单中找到的正式元数据,以及有关依赖项、版本号或软件包来源的详细信息。这意味着依赖清单进行分析的传统容器扫描工具将存在显著的可见性缺口,需要新的流程和工具来妥善缓解相关风险。
平均每个容器在其底层软件组件中有604个已知漏洞,其中超过45%的漏洞存在2至10年以上的时间。NetRise威胁情报发现,在16557个被识别为具有严重或高危CVSS严重程度评级的CVE中,超过4%是被僵尸网络用于传播勒索软件、被威胁行为者利用或用于已知攻击的武器化漏洞。
此外,他们发现每个容器平均有4.8个配置错误,包括146个“可写和可读的非tmp目录”,这些容器的身份控制过于宽松,每个容器平均有19.5个用户名。
全面了解软件风险始于全面可见性
软件供应链内部缺乏透明度对全球各地的企业来说都至关重要。最重要的是,商业软件(包括容器化软件)内容的透明度至关重要。
作为起点,企业需要对其软件进行全面了解,以理解其范围、规模和相关风险。先进技术可以为企业提供急需的洞察,以丰富和完善安全运营中使用的资产发现、漏洞管理和入侵检测工具,为所有软件开发详细的SBOM,检测漏洞和非CVE风险,并对所有已识别的软件供应链风险进行优先排序。
NetRise首席执行官Thomas Pace表示:“容器技术的采用正在快速增长,这主要是因为其轻量级且易于管理,然而,虽然容器改变了许多现代应用程序的设计、部署和管理方式,但它们似乎是软件供应链中网络安全最薄弱的环节之一。”
