【開源陷阱】Docker Hub 400萬images過半有漏洞 開發團隊貪快變內鬼
公認有助加快 DevOps 流程的 Container 容器技術,其最受歡迎開發平台 Docker Hub 被驗出含有大量惡意 Images,400 萬個 images 當中超過一半有問題,只要開發團隊隨意下載這些開源 images 使用,隨時無意中成為入侵幫兇……
Docker 虛擬化技術深受應用程式開發者歡迎,因為可將應用程式連同環境製作成不同的 Image,快速移植到各種作業系統之上。雖然 Image 一經封裝,理論上便不可改變,但並不代表 Container 絕對安全,因為黑客可以將「加料」Image 放在開源(Open Source)倉庫上,待開發人員下載使用。
以為危言聳聽?最近專門提供 Container 安全服務的公司 Prevasio,就有研究報告話俾大家知 Container 有多危險。Prevasio 研究員利用 800 個電腦設備,連續一個月不停掃描存放於 Docker Hub 上的開源 Container Images 後,發現 400 萬個 Images 中超過一半含有安全漏洞,當中 13% 屬於高風險級別。另外,有 6,400 個 Images 更被界定為含有惡意功能,包挖礦、木馬程式等等,只要有開發團隊未經檢查分析而直接使用,就會一併引入漏洞及惡意軟件。
研究員又指出,最多 Images 被加入挖礦程式,佔 6,400 個內的 44%,其他還有針對 WordPress Plugins、Apache Tomcat 及 Jenkins 的木馬程式,這些 Images 內可能較難發現惡意元素,原因是必須待執行後,才會啟動下載惡意負載的程序。研究員特別提到雖然現階段針對 Windows 的加料 Images 佔大多數,但相信黑客將會執行更多跨作業平台攻擊。
總括而言,研究員提醒應用程式開發團隊必須謹慎使用開源 Images,雖然現時 DevOps 模式講求效率,但如缺乏安全意識將會引發大災難,令交付的應用服務存在後門,黑客便可隨時入侵。最穩陣的方法當然是由零開始自建 Images,如需使用開源資源,就一定要小心分析 Images 的內容,確認乾淨才好使用。
