شرکت امنیت ابر Rezilion برخی از محبوبترین تصاویر Docker container را تجزیه و تحلیل کرده و کشف کرده است که با اینکه آنها دارای آسیبپذیریهای بسیاری هستند، اما کمتر از نیمی از این آسیبپذیریها خطر واقعی دارند.
پژوهشگران Rezilion حدود ۲۰ مورد از محبوبترین تصاویر container میزبانیشده در DockerHub، بزرگترین کتابخانهی تصاویر container، را تجزیه و تحلیل کردهاند. تصاویری که آنها بررسی کردهاند بین ۵۰ میلیون تا یک میلیارد بار بارگیری شدهاند.
هر container با استفاده از اسکنر آسیبپذیری Vuls که در مجموع ۱۸۰۰ حفرهی امنیتی شناختهشده را کشف کرد، اسکن شد. پس از شناسایی بستههای حاوی هر کدام از این آسیبپذیریها، برای تعیین اینکه کدام فایلها در حافظه بارگذاری شدهاند، اجرا شدند.
این تجزیه و تحلیل نشان داد که بستههای حاوی ۶۰ درصد از آسیبپذیریهای شناساییشده هرگز بارگیری نشدند بنابراین خطری ایجاد نکردند.
مدیر ارشد فناوری Rezilion بیان کرد که از دستورات اجرایی پیشنهادشده برای هر container استفاده شد و بسته به نوع پیکربندی تعداد مؤلفههای آسیبپذیر بارگذاریشده در حافظه ممکن است بالاتر یا پایینتر باشد. بااینحال وی بیان کرد که اطلاعاتی که آنها با استفاده از پیکربندیهای غیر پیشفرض از مشتریان خود جمعآوری کردهاند نشان میدهد که در بسیاری از موارد، میزان کدی که بارگذاری نشده است بالاتر از چیزی است که آنها در مطالعهی خود یافتهاند.
Rezilion تجزیه و تحلیل خود را دوبار انجام داد، یک بار در ماه نوامبر سال ۲۰۱۹ میلادی و یک بار در ماه فوریهی ۲۰۲۰ میلادی. بررسی انجامشده در ماه فوریه نشان داد که ۶۷ درصد از آسیبپذیریهایی که براساس امتیازهای CVSS با شدت بالا ارزیابی شدند، هرگز در حافظه بارگذاری نشدند و در ماه نوامبر این رقم ۷۵ درصد بود.
Rezilion تشریح کرد که شناسایی مؤلفههای آسیبپذیر نصبشده مشخص نمیکند که کدام بخشهای کدها از آنها استفاده میکند. نظارت بر اینکه کدام کتابخانهها واقعاً در زمان اجرا بارگذاری میشوند، رویکرد درستی برای اولویتبندی موفقیتآمیز آسیبپذیریها است.
بهگفتهی Rezilion رویکرد صحیح دربارهی مدیریت آسیبپذیریها، استفاده از استراتژی Continuous Adaptive Risk and Trust Assessment (CARTA) گارتنر است که در آن تصمیمها و پاسخهای امنیتی براساس خطر و اعتماد اتخاذ میشود و بهطور مداوم با آموختههای حاصلشده از هر تعامل تطبیق مییابد.
Rezilion در مورد containerها بیان میکند که یک استراتژی CARTA شامل تشخیص اهمیت و حساسیت کسبوکار برای خدمات استفادهشده در تولید، شناسایی آسیبپذیریهایی که در آنها اجرا میشوند، اولویتبندی آسیبپذیریهایی که هیچ دفاع یا کنترلی ندارند و اولویتبندی آسیبپذیریهایی است که معمولاً توسط نفوذگران و بدافزارها هدف قرار میگیرند.
مدیرعامل Rezilion بیان کرد که مسأله جمعآوری داده نیست، زیرا چندین ابزار رایگان در دسترس است که میتوان از آنها برای این هدف استفاده کرد. وی تشریح کرد که برای هر سیستم عاملی انواع مختلفی از فناوریهای دقیق مانند tracepoints، ftrace، SystemTap، Dtrace وجود دارد. مشکل موجود جمعآوری داده نیست، بلکه ادغام بین سرعت زیاد دادههای زمان اجرا با آن چیزی است که توسط توسعهدهندگان جلو برده میشود و انجام این کار بدون خودکارسازی بسیار خستهکنندهی و پیچیده است.