Report: Shifting Docker security left
Rapport te downloaden in .pdf via deze link. Originele post van Brian Vermeer via Snyk.
Een inleiding tot dit rapport
Docker werd dit jaar 6 jaar oud. In de loop van deze 6 jaar is de acceptatie van Docker-en containers in het algemeen enorm gegroeid. Momenteel beweert 57% van de ontwikkelaars containers in hun dagelijkse werk te gebruiken (zie onze grafiek verderop in dit hoofdstuk). Met de komst van containetechnologieën konden ontwikkelaars gemakkelijker innovatieve oplossingen bouwen. Veel van deze open source-oplossingen zijn gratis beschikbaar. Tegenwoordig plaatsen zelfs grote softwareleveranciers vooraf gemaakte afbeeldingen in openbare registers zoals Docker Hub, waardoor ontwikkelaars deze afbeeldingen kunnen downloaden en gebruiken.
In 2015 hebben Docker, Red Hat, CoreOS, IBM, Google en een brede coalitie van marktleiders zich geconcentreerd op gemeenschappelijke standaarden voor softwarecontainers, die het Open Container Initiative (OCI) hebben opgericht. Dit initiatief is opgericht met als doel een open source, technische gemeenschap te hosten. Daarnaast is het gericht op het bouwen van een leveranciersneutrale open-specificatie en draagbare runtime voor oplossingen op basis van containers.
Sinds de tijd dat OCI-normen zijn vrijgegeven, zijn er veel andere build- en runtime-technologieën ontwikkeld. Dus, terwijl dit artikel vaak ‘Docker-containers’ en ‘Docker-afbeeldingen’ vermeldt, moet worden begrepen dat er veel technologieën beschikbaar zijn die voldoen aan de OCI-normen (open-containerinitiatief). Op het moment dat dit stuk werd geschreven, is Docker nog steeds verreweg de populairste OCI build-tool en runtime. De dominantie van Kubernetes en het gebruik van CRI-O begint dat landschap te veranderen.
Sinds de tijd dat OCI-normen zijn vrijgegeven, zijn er veel andere build- en runtime-technologieën ontwikkeld. Dus, terwijl dit artikel vaak ‘Docker-containers’ en ‘Docker-afbeeldingen’ vermeldt, moet worden begrepen dat er veel technologieën beschikbaar zijn die voldoen aan de OCI-normen (open-containerinitiatief). Op het moment dat dit stuk werd geschreven, is Docker nog steeds verreweg de populairste OCI build-tool en runtime. De dominantie van Kubernetes en het gebruik van CRI-O begint dat landschap te veranderen.
Gebruik jij containers?
Naarmate meer organisaties Docker-containers maken, verspreiden en gebruiken, neemt het risico op beveiligingskwetsuren toe. Docker-afbeeldingen worden grotendeels op andere afbeeldingen gebouwd, wat betekent dat een kwetsbaarheid in één afbeelding ook aanwezig is in alle afbeeldingen die er gebruik van maken. De brede acceptatie van Docker heeft een prijs – een enkele kwetsbaarheid kan op grote schaal worden verspreid en heeft grote gevolgen.
We hebben de onbewerkte gegevens van ons State of Open Source Security-rapport nader bekeken om een beter inzicht te krijgen in het Docker-landschap en de bijbehorende beveiligingsrisico’s en beste praktijken. In dit rapport bekijken we algemene beveiligingsproblemen met Docker-containers en Docker-afbeeldingen en enkele acties die u kunt ondernemen om de beveiliging te verbeteren.
Het Docker-landschap Tegenwoordig wordt Docker veel gebruikt en is Docker Hub de standaardlocatie als u een Docker-afbeelding nodig hebt. Docker Hub is ‘s werelds grootste bibliotheek en community voor containerafbeeldingen. Op het moment van schrijven van deze blog had Docker Hub al meer dan 2 miljoen (2.085.422) afbeeldingen beschikbaar om direct te downloaden en te gebruiken, en dat aantal groeit dagelijks.
Iedereen kan afbeeldingen naar Docker Hub pushen, maar Docker Hub labelt bepaalde afbeeldingen als betrouwbaarder dan andere. Hoewel Docker officiële erkenning en zelfs certificering biedt voor sommige bijdragers en hun afbeeldingen, bevatten zelfs die afbeeldingen nog steeds kwetsbaarheden die moeten worden beheerd.
Momenteel bevat Docker Hub:
De toepassing van applicatiecontainertechnologie neemt opmerkelijk snel toe en zal naar verwachting in 2020 met nog eens 40% groeien, volgens 451 Research.
