Почему в Docker Hub так много уязвимых образов Nginx?
В настоящее время все они имеют непропатченные компоненты и отмечены красным https: // hub. docker.com/r/library/nginx/tags/[1223 impression
Любой дистрибутив Linux, обновленный до последней версии со всеми примененными исправлениями безопасности, будет иметь уязвимости. Исправления безопасности часто создаются после обнаружения уязвимости. И каждый дистрибутив будет иметь некоторую задержку с момента выпуска исправления исходной библиотекой до его включения в дистрибутив. Когда вы исследуете многие из перечисленных уязвимостей, вы часто обнаруживаете, что для этого дистрибутива еще нет исправления.
То, что образ содержит уязвимости, не означает, что им можно воспользоваться. Часто уязвимости связаны с различными включенными библиотеками, которые могут даже не быть вызваны при доступе к контейнеру через любой из опубликованных портов.
Например, некоторые списки эксплойтов, которые позволяют эскалацию привилегий от пользователя до root, но многие контейнеры запускаются от root уже, поскольку пользователь root добавил ограничения и может получить доступ только к одному приложению. И другие эксплойты могут потребовать библиотеки для синтаксического анализа файла, который, если ваш веб-сервер не анализирует изображения из неизвестных источников, может быть невозможно использовать этот эксплойт против вашего контейнера.
Лично я считаю, что Docker просто сияет. свет на проблему, которая существовала всегда, но которую легко игнорировать. Без этих отчетов люди предполагают, что применение всех доступных исправлений безопасности означает, что они устранили все известные уязвимости.И без Docker они запускают приложения в этих системах без какой-либо изоляции между различными приложениями, что позволяет легко расширить эксплойт в одном приложении и раскрыть все другие приложения и включенные данные на том же компьютере.
Образы настолько же безопасны, насколько и их наименее защищенный компонент. Все эти образы создаются из базового образа, к которому добавляются зависимости, а затем запускается приложение. Если одна из этих зависимостей уязвима, то после этого будет и весь стек.
Вы можете точно увидеть, какие компоненты уязвимы, просмотрев страницу Теги. Например официальный образ nginx .
Существуют технические аргументы в поддержку вашего вопроса, но я считаю, что в конечном итоге проблема заключается в модели Devops в том докере, который был разработан, чтобы помочь «разработчикам», а не «Ops», он о получении кода из дверей и быстро отметили списки. По состоянию на начало 2017 года с докером все еще намного сложнее работать, чем со многими другими традиционными методами развертывания кода, я уверен, что по мере его развития это изменится, но если вы всегда будете сосредоточены на скорости, вы всегда будете упускать элементы управления хорошая операционная команда может дать вам - это один из них.