Názory k článku
Analýza čtyř milionů obrazů na DockerHubu odhalila v polovině kritické zranitelnosti

Taky jsem na to koukal, kdyz jsem migroval image treti strany na quay.io a vybafly na me desitky zranitelnosti :)

kromě quay.io kontrolu dělá i github, amazon (právě představený docker repository na ec2) aj. Pořád ale tohle nezabrání špatnému výchozímu nastavení, záměrně vloženým zranitelnostem a backdoor programů.

Byl to oficialni postgres image. Takze spatne nastaveni tam mozna bude, ale backdoory a zamerne vlozene zranitelnosti spise ne. Vypada to vic jako neaktualizovany image nad kterym stavi.

mohu potvrdit, dneska stahovat veřejné docker obrazy do produkce je hazardování z bezpečností na nejvyšší úrovni. To se týká i těch oficiálních obrazů, největší problém je prostě neaktualizovanost (a tím i nekontrola nad verzemi a SW, které obraz obsahuje) a výchozí nevhodné nastavení.

Bohužel, pro značnou část uživatelů (firem) je právě ta bezpracnost hlavním argumentem. Nasazení dockeru ve vhodné situaci a ještě k tomu správně, aby člověk pohledal.

To by byl dobrej článek, jak prověřit obrzay před instalací.

Je někde dostupný kompletní seznam? Na webu mají jen:

All malicious / potentially harmful images
Total: 6,432 images
Total Pull Count: 305,493,367

ten seznam může být zavádějící, protože se časem obsah může změnit. Pár bych pro ukázku také uvítal, určitě tam je několik, které jako ukázka slouží...

Seznam jsem taky hledal a byl jsem úspěšnější :-)
Odkaz je v tom PDF - https://malware.prevasio.com

Jednoduche reseni je nepouzivat DockerHub, ale alternativu s vulnerabilities skenerem.

Daná situace je logickým důsledkem skutečnosti, kdy na rozdíl od repozitářů distribucí neprocházejí obrazy Dockeru prověřením na obsah. Otázkou je, proč nějaký nástroj jako Prevasio nemá sám Docker, snižují tím bezpečnost vlastního řešení a tím jeho použitelnost.
Nástroj od Prevasia je pěkný, ale chybí mi tam opačný postup k vyhledávání nalezených zranitelností - zadání obrazu (třeba URL na Dockerhub), kdy by mi to vypsalo „v pořádku/škodli­vé/netestováno“. Úplně by ze začátku stačilo ověření oficiálních obrazů.

Daná situace je především logickým důsledkem skutečnosti, že se stále většina obrazů vytváří z distribucí, místo aby to byly nahé obrazy (jen aplikace a potřebné knihovny). Logicky je pak v obrazu spousta knihoven a programů, které se sice reálně nepoužívají (a většinou je, doufejme, případný útočník ani nemůže zneužít), ale v tom obrazu prostě zabírají místo a straší tam bezpečáky.

Nerozumiem, ked taky kontajner potrebujete tak je to OK. Co je na tom zle?

Dna situacia je logickym dosledkom bezpecnostnej politiky Dockru, nic ine by som za tym nehladal.
Sice poskytuje nejaku bezpecnost, ale len platiacim zakaznikom.

to je pravda, už jen ten šlendriát s "verified" obrazy, kdy vlastně si tam stejně mohu dát jakýkoliv blob z repa nebo podělit jakýkoliv jiný docker image, kde je cokoliv a pořád jsem "verified". Na dockeru je sice vidět Dockerfile, ale již tam nejsou vidět další externí soubory.

Dělal jsem při jedné přednášce ukázku, kdy jsem do Dockerfilu stahovat soubor přes http z vlastního serveru a pro docker build servery jsem vracel jiný obsah než pro uživatele, navenek to vypadá legitimně a prošlo to všemi kontrolami.

Ona i taková maličkost, kdy se přenášené docker image při pullování nijak nekontroluji a je možné je přes MitM modifikovat, podpisy jsou až v enterprise.

Ono to bude do jisté míry tím, že se za soukromé image musí platit. Takže jestli skenovali třeba ty na mém účtu, tak tam je například několik let starej image znc bounceru s přidaným pluginem na push notifikace do již neexistující aplikace mutter, podobně upravený bitlbee, webxicht co ukazoval graf z MySQL (teplota z arduina ) a nějaké pokusy. Pochybuju že si něco z toho někdy vědomě stáhl a normálně by to skončilo v private, ale smůla takhle to skončilo veřejně. Když něco hledám na docker hubu, tak vždy narazím na hromadu image, které na tom jsou podobně, neaktualizované léta, bez popisu, bez odkazů na repository. To si snad nikdo normální nestáhne a nenasadí. Takže bych to tak černě neviděl...