據(jù)NetRise稱，容器是軟件供應(yīng)鏈中增長(zhǎng)最快且網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)。

各公司在努力確保容器安全方面頗費(fèi)周折。從配置不當(dāng)?shù)脑?、容器和網(wǎng)絡(luò)，到在整個(gè)軟件生命周期中容器安全歸屬問(wèn)題的不確定性，這些問(wèn)題一直存在，然而，根據(jù)2022年Anchore的一份報(bào)告，企業(yè)計(jì)劃在未來(lái)24個(gè)月內(nèi)擴(kuò)大對(duì)容器的采用，其中88%的企業(yè)計(jì)劃增加容器的使用，31%的企業(yè)計(jì)劃大幅增加容器的使用。

然而，到了2024年，我們開(kāi)始看到人們認(rèn)識(shí)到了容器安全問(wèn)題，Red Hat最近的一份報(bào)告顯示，67%的組織由于與容器和Kubernetes相關(guān)的安全問(wèn)題而延遲或放緩了應(yīng)用程序的部署。

依賴容器化應(yīng)用帶來(lái)網(wǎng)絡(luò)安全挑戰(zhàn)

對(duì)容器化應(yīng)用的日益依賴帶來(lái)了兩個(gè)網(wǎng)絡(luò)安全挑戰(zhàn)：

? 需要保持對(duì)容器中詳細(xì)軟件組件及其來(lái)源的可見(jiàn)性;

? 需要識(shí)別和優(yōu)先處理容器組件中的漏洞和風(fēng)險(xiǎn)。

NetRise的研究人員從Docker Hub上下載量最高的250個(gè)鏡像中隨機(jī)選擇了70個(gè)容器鏡像進(jìn)行分析，并生成了一份詳細(xì)的軟件材料清單(SBOM)。他們發(fā)現(xiàn)，平均每個(gè)容器鏡像包含389個(gè)軟件組件。

研究人員發(fā)現(xiàn)，八分之一的組件沒(méi)有軟件清單——它們?nèi)狈νǔＴ谇鍐沃姓业降恼皆獢?shù)據(jù)，以及有關(guān)依賴項(xiàng)、版本號(hào)或軟件包來(lái)源的詳細(xì)信息。這意味著依賴清單進(jìn)行分析的傳統(tǒng)容器掃描工具將存在顯著的可見(jiàn)性缺口，需要新的流程和工具來(lái)妥善緩解相關(guān)風(fēng)險(xiǎn)。

平均每個(gè)容器在其底層軟件組件中有604個(gè)已知漏洞，其中超過(guò)45%的漏洞存在2至10年以上的時(shí)間。NetRise威脅情報(bào)發(fā)現(xiàn)，在16557個(gè)被識(shí)別為具有嚴(yán)重或高危CVSS嚴(yán)重程度評(píng)級(jí)的CVE中，超過(guò)4%是被僵尸網(wǎng)絡(luò)用于傳播勒索軟件、被威脅行為者利用或用于已知攻擊的武器化漏洞。

此外，他們發(fā)現(xiàn)每個(gè)容器平均有4.8個(gè)配置錯(cuò)誤，包括146個(gè)“可寫(xiě)和可讀的非tmp目錄”，這些容器的身份控制過(guò)于寬松，每個(gè)容器平均有19.5個(gè)用戶名。

全面了解軟件風(fēng)險(xiǎn)始于全面可見(jiàn)性

軟件供應(yīng)鏈內(nèi)部缺乏透明度對(duì)全球各地的企業(yè)來(lái)說(shuō)都至關(guān)重要。最重要的是，商業(yè)軟件(包括容器化軟件)內(nèi)容的透明度至關(guān)重要。

作為起點(diǎn)，企業(yè)需要對(duì)其軟件進(jìn)行全面了解，以理解其范圍、規(guī)模和相關(guān)風(fēng)險(xiǎn)。先進(jìn)技術(shù)可以為企業(yè)提供急需的洞察，以豐富和完善安全運(yùn)營(yíng)中使用的資產(chǎn)發(fā)現(xiàn)、漏洞管理和入侵檢測(cè)工具，為所有軟件開(kāi)發(fā)詳細(xì)的SBOM，檢測(cè)漏洞和非CVE風(fēng)險(xiǎn)，并對(duì)所有已識(shí)別的軟件供應(yīng)鏈風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序。

NetRise首席執(zhí)行官Thomas Pace表示：“容器技術(shù)的采用正在快速增長(zhǎng)，這主要是因?yàn)槠漭p量級(jí)且易于管理，然而，雖然容器改變了許多現(xiàn)代應(yīng)用程序的設(shè)計(jì)、部署和管理方式，但它們似乎是軟件供應(yīng)鏈中網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)之一?！?/p>