D’après l’analyse de sécurité récente des 4 millions d'images de conteneurs hébergées sur le référentiel Docker Hub
Il y a beaucoup plus que 4 millions d'images sur le Hub. Sur les derniers chiffre public que j'ai, il y en a 150 millions.
Après oui une grosse part du problème est que beaucoup de monde a poussé des images, puis ne les maintient pas (ou ne les supprime pas). Donc à un moment donné on découvre des vulnérabilités 🤷♂️
Effectivement il y a une imprécision qui vient sans doute du document d'origine, ce devrait être « une analyse de 4 millions de conteneurs ».
L'étude indique aussi que certains conteneurs contiennent des logiciels malveillants ou des mineurs de cryptomonnaies.Et l'analyse va plus loin qu'une simple analyse de l'image, les conteneurs sont testé en contexte.
La publication de ce lien est surtout là pour rappeler les risques potentiels à utiliser des dépôts tiers de manière générale (l'article parle aussi de dépôts pour Python ou nodejs). Il n'est pas question de remettre en cause l'utilité de Docker, ni la qualité du travail effectué.
certains conteneurs contiennent des logiciels malveillants ou des mineurs de cryptomonnaies
Oui, c'est un cas assez fréquent malheureusement :-( Lorsque nous en sommes avertis nous les supprimons.
les risques potentiels à utiliser des dépôts tiers de manière générale
Oui, globalement il n'y a pas de solution miracle sur ce point. La seule chose c'est de privilégier les dépôts principaux, ou les images vérifiées dans le cadre de Docker. Tout comme on installerait que depuis les dépots debian officiels par exemple.
les conteneurs sont testé en contexte
Oui, j'ai vu cette phrase :
Each image was executed in an isolated controlled environment
Mais je ne suis pas bien certains de savoir ce que ça veut dire. Beaucoup d'images ne peuvent pas être exécutées simplement (je veux dire un simple docker run sans paramètres, sans variables d'environnement, sans dépendances, etc).
Posté par Bruno .
Évalué à 2.
Dernière modification le 03/12/20 à 16:46.
Nous sommes d'accord.
Si un modérateur pouvait changer le titre par : Des images de Docker HUB vulnérables à des failles critiques.
ce serait certainement plus conforma à la réalité (et moins putaclic ;))
# vulnerability scanning
Posté par CrEv (site Web personnel) . Évalué à 10.
mouai, la rédaction est au mieux trompeuse.
Il y a beaucoup plus que 4 millions d'images sur le Hub. Sur les derniers chiffre public que j'ai, il y en a 150 millions.
Après oui une grosse part du problème est que beaucoup de monde a poussé des images, puis ne les maintient pas (ou ne les supprime pas). Donc à un moment donné on découvre des vulnérabilités 🤷♂️
c'est justement pour ça qu'on a entre autre intégré un scanner de vulnérabilités dans Docker Hub : à chaque push on peut avoir un scan de l'image et connaitre les vulnérabilités présentes. https://docs.docker.com/docker-hub/vulnerability-scanning/
Il est aussi possible de scanner en local : https://docs.docker.com/engine/scan/
note : je bosse chez Docker, j'ai développé la feature de scan du Docker Hub.
[^] # Re: vulnerability scanning
Posté par Bruno . Évalué à 5.
Effectivement il y a une imprécision qui vient sans doute du document d'origine, ce devrait être « une analyse de 4 millions de conteneurs ».
L'étude indique aussi que certains conteneurs contiennent des logiciels malveillants ou des mineurs de cryptomonnaies.Et l'analyse va plus loin qu'une simple analyse de l'image, les conteneurs sont testé en contexte.
La publication de ce lien est surtout là pour rappeler les risques potentiels à utiliser des dépôts tiers de manière générale (l'article parle aussi de dépôts pour Python ou nodejs). Il n'est pas question de remettre en cause l'utilité de Docker, ni la qualité du travail effectué.
[^] # Re: vulnerability scanning
Posté par CrEv (site Web personnel) . Évalué à 3.
Oui, c'est un cas assez fréquent malheureusement :-( Lorsque nous en sommes avertis nous les supprimons.
Oui, globalement il n'y a pas de solution miracle sur ce point. La seule chose c'est de privilégier les dépôts principaux, ou les images vérifiées dans le cadre de Docker. Tout comme on installerait que depuis les dépots debian officiels par exemple.
Oui, j'ai vu cette phrase :
Mais je ne suis pas bien certains de savoir ce que ça veut dire. Beaucoup d'images ne peuvent pas être exécutées simplement (je veux dire un simple
docker run
sans paramètres, sans variables d'environnement, sans dépendances, etc).[^] # Re: vulnerability scanning
Posté par Bruno . Évalué à 2. Dernière modification le 03/12/20 à 16:46.
Nous sommes d'accord.
Si un modérateur pouvait changer le titre par :
Des images de Docker HUB vulnérables à des failles critiques.
ce serait certainement plus conforma à la réalité (et moins putaclic ;))
[^] # Re: vulnerability scanning
Posté par ted (site Web personnel) . Évalué à 2.
C'est fait !
Un LUG en Lorraine : https://enunclic-cappel.fr
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.