镜像安全可针对本地镜像、仓库镜像提供一键检测功能,支持对漏洞、木马病毒及敏感信息等多维度安全扫描。
镜像安全风险
镜像是容器的静态表示形式,镜像的安全决定了容器运行时的安全。
镜像的安全风险分布在创建过程、获取来源、获取途径等方面。镜像有以下情况可能存在危险:
镜像存在漏洞或被插入恶意脚本,那么生成的容器也可能产生漏洞或被恶意利用。
说明
例如:攻击者可构造特殊的镜像压缩文件,在编译时触发漏洞获取执行任意代码的权限。
在镜像中没有指定 USER,默认以 root 用户的身份运行该镜像创建的容器,当该容器遭到攻击,那么宿主机的 root 访问权限也可能会被获取。
在镜像文件中存储了固定密码等敏感信息并对外进行发布,则可能导致数据泄露的风险。
在镜像的编写中添加了不必要的应用,如 SSH、Telnet 等,则会产生攻击面扩大的风险。
仓库镜像安全风险
镜像仓库作为搭建私有镜像存储仓库的工具,主要安全风险来自仓库本身的安全风险和镜像拉取过程中的传输安全风险。
仓库自身安全:镜像仓库特别是私有镜像仓库若被恶意攻击者所控制,那么其中所有镜像的安全性将无法得到保证。
说明
例如:私有镜像仓库由于配置不当而开启了2357端口,将会导致私有仓库暴露在公网中,攻击者可直接访问私有仓库并篡改镜像内容,造成仓库内镜像的安全隐患。
镜像拉取安全:容器镜像从镜像仓库到用户端的完整性也是镜像安全需关注的内容。
说明
例如:用户以明文形式拉取镜像,在与镜像仓库交互的过程中容易遭遇中间人攻击,会导致拉取的镜像在传输过程中被篡改或被冒名发布恶意镜像,造成镜像仓库和用户双方的安全风险。
