【.com快译】容器(当然是运行在公有云上)现在真的很老土了。这些自包含的轻量级包带有自己的运行时环境,并且可以在平台之间移动,通常无需对代码进行重大更改。容器包括应用程序及其依赖项,例如运行它们所需的库、其他二进制文件和配置文件。容器是最流行的应用开发方式之一,也支持“包装”存在于容器中的应用,但容器面临着系统性的缺陷和漏洞。因此,使用容器成为云安全专家最忌讳的事情之一,也是不法分子首选的攻击媒介。核心问题是任何暴露都可以很容易地牵连到连接到容器的其他系统、应用程序和数据。此外,这些组件中的缺陷可能允许攻击者控制系统和系统有权访问的任何敏感数据。那是坏事发生的时候。检测容器漏洞的最佳方法是什么?更重要的是,如何才能最大限度地减少对必须使用容器构建系统的人员的干扰?答案实际上分为两部分:扫描漏洞和构建以避免漏洞。扫描是最常见的方法,因为它是CI/CD(持续集成和持续交付)管道的一部分。在创建、测试、审查和部署代码时以及在操作过程中,扫描会查找安全问题。自动扫描过程可以发现漏洞,在某些情况下,无需开发人员参与即可自动纠正漏洞。扫描注册表或遍历一组存储库以查找异常情况,以同时查看多个容器映像。当容器映像从注册表实例化到生产系统时,无论是否在云中,它们都会成为运行中的容器。运行时环境扫描是另一种旨在扫描执行容器以查找安全问题的方法。最好的办法是利用尽可能多的漏洞扫描类型,从而消除构建和部署基于容器的应用程序时的部分(但不是全部)风险。构建以避免漏洞通常是利用常识的问题——考虑可能通过做一些愚蠢的事情而引入的漏洞,例如使用来自不可靠来源的基础图像。其他方法是利用经过安全审计审查的工具,仅使用经过验证的代码,并为开发人员提供特殊培训,以便在构建安全容器时做出正确的选择。选择正确的工具来扫描并加强对已构建、已测试、暂存和已部署容器的扫描。在每个阶段检查安全问题实际上并没有减慢进度,而是完全降低了风险。这不是什么硬科学。您可以充分利用您已经拥有的经过验证的工具。话虽如此,许多容器开发人员并没有使用一些最基本的安全工具和方法。鉴于大多数上云的IT部门都高度依赖容器,我们需要解决这个问题。原标题:当容器成为噩梦,作者:DavidLinthicum
