在Docker社区中蓬勃发展的Heldbleed和Shellshock
除非他们在集装箱上放置盖子,否则公司风险风险敞口旧的安全漏洞,其安全良好的卫生卫生仪器集装箱内容为高风险攻击。
每周对电脑的攻击面为Containerssuch作为Docker,Gavin Millard,Tenable技术总监表示,大多数组织甚至没有意识到他们正在运行容器。
“他们不认为存在一个问题,因为他们不知道它。容器的一个问题是,它可以在Devops使用的情况下很快部署基础架构,“他说。
米尔德表示,虽然Devops使团队能够创建代码和IT环境来创建代码和IT环境,但Millard表示代码可能不会像它一样安全。
“Devops的一个缺点是它不再可预测;这是短暂的,“他补充道。
虽然已经在传统方式开发的应用中应对解决软件风险,但Devops暴露了更多漏洞。
庞达丁的示例,当开发人员何时采用Docker基础映像来构建它的应用程序 - 有效地应用于容器的快照图像。开发人员将其脱机并添加其应用程序。“当容器中存在脆弱性时,风险会发生,”斯米尔德。
根据Tenable的研究,当前的Docker容器确实有一些漏洞。但是更大的问题是Docker商店的社区图像,警告Millard,因为“Dockerised应用程序可以包含旧电流漏洞”。
“我们拍摄了前6000个图像并评估了他们的漏洞。平均而言,官方码头图像中的漏洞计数为16。但社区形象的平均值为40,“他说。
当它看着官方图像中的漏洞时,Tenable确定了四分之三的风险为“高”。相比之下,发现社区Docker图像中发现的34%的风险被发现是“关键”。
在评估的6,000张图片中,Millard表示59有贝壳漏,而359则含有Heldledbug。“问题是这些漏洞是至关重要的,而且旧的,这意味着易于攻击套件很容易获得,”他说。
根据Millard的说法,Devops面临的大型安全问题之一是软件不会保持最新状态。“可以将策略定义,可以添加治理以识别漏洞,但人们必须遵循进程,组织需要定义一个强大的过程,将治理添加到容器中,”他说。
