D’après l’analyse de sécurité récente des 4 millions d'images de conteneurs hébergées sur le référentiel Docker Hub
Il y a beaucoup plus que 4 millions d'images sur le Hub. Sur les derniers chiffre public que j'ai, il y en a 150 millions.
Après oui une grosse part du problème est que beaucoup de monde a poussé des images, puis ne les maintient pas (ou ne les supprime pas). Donc à un moment donné on découvre des vulnérabilités 🤷♂️
certains conteneurs contiennent des logiciels malveillants ou des mineurs de cryptomonnaies
Oui, c'est un cas assez fréquent malheureusement :-( Lorsque nous en sommes avertis nous les supprimons.
les risques potentiels à utiliser des dépôts tiers de manière générale
Oui, globalement il n'y a pas de solution miracle sur ce point. La seule chose c'est de privilégier les dépôts principaux, ou les images vérifiées dans le cadre de Docker. Tout comme on installerait que depuis les dépots debian officiels par exemple.
les conteneurs sont testé en contexte
Oui, j'ai vu cette phrase :
Each image was executed in an isolated controlled environment
Mais je ne suis pas bien certains de savoir ce que ça veut dire. Beaucoup d'images ne peuvent pas être exécutées simplement (je veux dire un simple docker run sans paramètres, sans variables d'environnement, sans dépendances, etc).
# vulnerability scanning
Posté par CrEv (site web personnel) . Évalué à 10.
mouai, la rédaction est au mieux trompeuse.
Il y a beaucoup plus que 4 millions d'images sur le Hub. Sur les derniers chiffre public que j'ai, il y en a 150 millions.
Après oui une grosse part du problème est que beaucoup de monde a poussé des images, puis ne les maintient pas (ou ne les supprime pas). Donc à un moment donné on découvre des vulnérabilités 🤷♂️
c'est justement pour ça qu'on a entre autre intégré un scanner de vulnérabilités dans Docker Hub : à chaque push on peut avoir un scan de l'image et connaitre les vulnérabilités présentes. https://docs.docker.com/docker-hub/vulnerability-scanning/
Il est aussi possible de scanner en local : https://docs.docker.com/engine/scan/
note : je bosse chez Docker, j'ai développé la feature de scan du Docker Hub.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: vulnerability scanning
Posté par CrEv (site web personnel) . Évalué à 3.
Oui, c'est un cas assez fréquent malheureusement :-( Lorsque nous en sommes avertis nous les supprimons.
Oui, globalement il n'y a pas de solution miracle sur ce point. La seule chose c'est de privilégier les dépôts principaux, ou les images vérifiées dans le cadre de Docker. Tout comme on installerait que depuis les dépots debian officiels par exemple.
Oui, j'ai vu cette phrase :
Mais je ne suis pas bien certains de savoir ce que ça veut dire. Beaucoup d'images ne peuvent pas être exécutées simplement (je veux dire un simple
docker runsans paramètres, sans variables d'environnement, sans dépendances, etc).[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2. Dernière modification le 03 décembre 2020 à 16:46.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: vulnerability scanning
Posté par ted (site web personnel) . Évalué à 2.
C'est fait !
Un LUG en Lorraine : https://enunclic-cappel.fr
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.