Rapport te downloaden in .pdf via deze link. Originele post van Brian Vermeer via Snyk.

 

Een inleiding tot dit rapport

Docker werd dit jaar 6 jaar oud. In de loop van deze 6 jaar is de acceptatie van Docker-en containers in het algemeen enorm gegroeid. Momenteel beweert 57% van de ontwikkelaars containers in hun dagelijkse werk te gebruiken (zie onze grafiek verderop in dit hoofdstuk). Met de komst van containetechnologieën konden ontwikkelaars gemakkelijker innovatieve oplossingen bouwen. Veel van deze open source-oplossingen zijn gratis beschikbaar. Tegenwoordig plaatsen zelfs grote softwareleveranciers vooraf gemaakte afbeeldingen in openbare registers zoals Docker Hub, waardoor ontwikkelaars deze afbeeldingen kunnen downloaden en gebruiken.

In 2015 hebben Docker, Red Hat, CoreOS, IBM, Google en een brede coalitie van marktleiders zich geconcentreerd op gemeenschappelijke standaarden voor softwarecontainers, die het Open Container Initiative (OCI) hebben opgericht. Dit initiatief is opgericht met als doel een open source, technische gemeenschap te hosten. Daarnaast is het gericht op het bouwen van een leveranciersneutrale open-specificatie en draagbare runtime voor oplossingen op basis van containers.

Sinds de tijd dat OCI-normen zijn vrijgegeven, zijn er veel andere build- en runtime-technologieën ontwikkeld. Dus, terwijl dit artikel vaak ‘Docker-containers’ en ‘Docker-afbeeldingen’ vermeldt, moet worden begrepen dat er veel technologieën beschikbaar zijn die voldoen aan de OCI-normen (open-containerinitiatief). Op het moment dat dit stuk werd geschreven, is Docker nog steeds verreweg de populairste OCI build-tool en runtime. De dominantie van Kubernetes en het gebruik van CRI-O begint dat landschap te veranderen.

Sinds de tijd dat OCI-normen zijn vrijgegeven, zijn er veel andere build- en runtime-technologieën ontwikkeld. Dus, terwijl dit artikel vaak ‘Docker-containers’ en ‘Docker-afbeeldingen’ vermeldt, moet worden begrepen dat er veel technologieën beschikbaar zijn die voldoen aan de OCI-normen (open-containerinitiatief). Op het moment dat dit stuk werd geschreven, is Docker nog steeds verreweg de populairste OCI build-tool en runtime. De dominantie van Kubernetes en het gebruik van CRI-O begint dat landschap te veranderen.

 

Gebruik jij containers?

Naarmate meer organisaties Docker-containers maken, verspreiden en gebruiken, neemt het risico op beveiligingskwetsuren toe. Docker-afbeeldingen worden grotendeels op andere afbeeldingen gebouwd, wat betekent dat een kwetsbaarheid in één afbeelding ook aanwezig is in alle afbeeldingen die er gebruik van maken. De brede acceptatie van Docker heeft een prijs – een enkele kwetsbaarheid kan op grote schaal worden verspreid en heeft grote gevolgen.

We hebben de onbewerkte gegevens van ons State of Open Source Security-rapport nader bekeken om een ​​beter inzicht te krijgen in het Docker-landschap en de bijbehorende beveiligingsrisico’s en beste praktijken. In dit rapport bekijken we algemene beveiligingsproblemen met Docker-containers en Docker-afbeeldingen en enkele acties die u kunt ondernemen om de beveiliging te verbeteren.

Het Docker-landschap Tegenwoordig wordt Docker veel gebruikt en is Docker Hub de standaardlocatie als u een Docker-afbeelding nodig hebt. Docker Hub is ‘s werelds grootste bibliotheek en community voor containerafbeeldingen. Op het moment van schrijven van deze blog had Docker Hub al meer dan 2 miljoen (2.085.422) afbeeldingen beschikbaar om direct te downloaden en te gebruiken, en dat aantal groeit dagelijks.

Iedereen kan afbeeldingen naar Docker Hub pushen, maar Docker Hub labelt bepaalde afbeeldingen als betrouwbaarder dan andere. Hoewel Docker officiële erkenning en zelfs certificering biedt voor sommige bijdragers en hun afbeeldingen, bevatten zelfs die afbeeldingen nog steeds kwetsbaarheden die moeten worden beheerd.

 

Momenteel bevat Docker Hub:

  • 223 afbeeldingen gepubliceerd door geverifieerde uitgevers. Deze producten worden rechtstreeks door een commerciële entiteit gepubliceerd en onderhouden.
  • 151 officiële afbeeldingen beschikbaar voor gebruik. Officiële afbeeldingen zijn een samengestelde set van Docker open source en “drop-in” oplossingsrepositories.
  • 40 Docker-images gecertificeerd door Docker, wat betekent dat ze moeten voldoen aan de best practices en bepaalde basislijntests moeten doorstaan.
  • Elk van de top 10 officiële Docker-afbeeldingen met meer dan 10 miljoen downloads en elk met minstens 30 kwetsbaarheden.
  • Van de top 10 meest populaire gratis door Docker gecertificeerde afbeeldingen, de helft met bekende kwetsbaarheden. Eén afbeelding die we controleerden had bijna 160 bekende kwetsbaarheden.

De toepassing van applicatiecontainertechnologie neemt opmerkelijk snel toe en zal naar verwachting in 2020 met nog eens 40% groeien, volgens 451 Research.