• # vulnerability scanning

    Posté par  (site Web personnel) . Évalué à 10 (+12/-0).

    mouai, la rédaction est au mieux trompeuse.

    D’après l’analyse de sécurité récente des 4 millions d'images de conteneurs hébergées sur le référentiel Docker Hub

    Il y a beaucoup plus que 4 millions d'images sur le Hub. Sur les derniers chiffre public que j'ai, il y en a 150 millions.

    Après oui une grosse part du problème est que beaucoup de monde a poussé des images, puis ne les maintient pas (ou ne les supprime pas). Donc à un moment donné on découvre des vulnérabilités 🤷‍♂️

    c'est justement pour ça qu'on a entre autre intégré un scanner de vulnérabilités dans Docker Hub : à chaque push on peut avoir un scan de l'image et connaitre les vulnérabilités présentes. https://docs.docker.com/docker-hub/vulnerability-scanning/
    Il est aussi possible de scanner en local : https://docs.docker.com/engine/scan/


    note : je bosse chez Docker, j'ai développé la feature de scan du Docker Hub.

    • [^] # Re: vulnerability scanning

      Posté par  . Évalué à 5 (+3/-0).

      Effectivement il y a une imprécision qui vient sans doute du document d'origine, ce devrait être « une analyse de 4 millions de conteneurs ».

      L'étude indique aussi que certains conteneurs contiennent des logiciels malveillants ou des mineurs de cryptomonnaies.Et l'analyse va plus loin qu'une simple analyse de l'image, les conteneurs sont testé en contexte.

      La publication de ce lien est surtout là pour rappeler les risques potentiels à utiliser des dépôts tiers de manière générale (l'article parle aussi de dépôts pour Python ou nodejs). Il n'est pas question de remettre en cause l'utilité de Docker, ni la qualité du travail effectué.

      • [^] # Re: vulnerability scanning

        Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

        certains conteneurs contiennent des logiciels malveillants ou des mineurs de cryptomonnaies

        Oui, c'est un cas assez fréquent malheureusement :-( Lorsque nous en sommes avertis nous les supprimons.

        les risques potentiels à utiliser des dépôts tiers de manière générale

        Oui, globalement il n'y a pas de solution miracle sur ce point. La seule chose c'est de privilégier les dépôts principaux, ou les images vérifiées dans le cadre de Docker. Tout comme on installerait que depuis les dépots debian officiels par exemple.

        les conteneurs sont testé en contexte

        Oui, j'ai vu cette phrase :

        Each image was executed in an isolated controlled environment

        Mais je ne suis pas bien certains de savoir ce que ça veut dire. Beaucoup d'images ne peuvent pas être exécutées simplement (je veux dire un simple docker run sans paramètres, sans variables d'environnement, sans dépendances, etc).

        • [^] # Re: vulnerability scanning

          Posté par  . Évalué à 2 (+1/-1). Dernière modification le 03/12/20 à 16:46.

          Nous sommes d'accord.

          Si un modérateur pouvait changer le titre par :
          Des images de Docker HUB vulnérables à des failles critiques.
          ce serait certainement plus conforma à la réalité (et moins putaclic ;))

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.