Docker容器的镜像库中的许多框架广受欢迎,在Docker Hub市场中有成千上万的免费镜像,可随时在Docker容器中使用。然而一项研究表明,在测试的2500多个Docker镜像中发现了大量安全漏洞。
Docker镜像可以单独或在虚拟化网络中彼此运行服务或应用,每个镜像都包含代码所需的依赖项,库和其他相关组件。
独立镜像通常以构建块的形式使用,通过使用精心选择的镜像,可以快速启动整个复杂的服务,并将其托管在与平台无关的主机上,这些镜像只需进行最少的调整,即可使用。许多企业项目将Docker Hub作为起点,从而将总体开发时间缩短。
但研究发现,即使在“认证”渠道,包含已被证明经过大量审查的Docker镜像中,也包含被描述为“高风险”的安全漏洞。
在所有Docker Hub市场中,Python和JavaScript Lodash库中的镜像受到最普遍的影响,甚至是被视为基本级别,并包含虚拟化操作系统级别代码的Official通道镜像。
一直以来,Docker Hub的安全性就备受诟病,很多镜像都未更新,最长达400天。
因为DevOps团队经常会遇到的时间和预算的压力,所以生产中的许多应用很有可能使用了包含Docker Hub的高风险镜像。
基于微服务的应用提供了快速,高效和可扩展的方式来启动高度复杂的配置,但是不能忽视Docker容器的安全性,更不能想当然的认为Docker Hub的镜像都是高质量的。
免费镜像用还是不用呢?
领取专属 10元无门槛券
私享最新 技术干货