对于软件团队而言,容器安全漏洞已成为一种常态,而那些本应用于保护它们的工具反而可能使问题更加严重。这是BellSoft开展的一项新调查得出的主要结论。该调查显示,近四分之一的开发者已经遭遇过与容器相关的安全事件,而许多组织仍在继续采用那些会扩大攻击面而非减少攻击面的做法。
这项针对427名开发者的调查发现,有23%的开发者遇到过容器安全漏洞。BellSoft指出,最危险的阶段通常出现在漏洞被公开但尚未得到修复之前,在这段时间内,受损系统仍会在生产环境中继续运行。尽管过去十年中容器平台取得了显著进步,但这项研究表明,人们对于安全防护的基本原理仍然了解不足,而且在实际应用中也存在不一致的情况。
超过一半的受访者(55%)表示,他们使用的都是像Ubuntu、Debian或Red Hat这样的通用Linux发行版,而这些发行版所包含的基础镜像中往往有数百个未被使用的软件包。每一个这些未使用的软件包都可能构成安全漏洞,因此必须对其进行跟踪、评估并打上补丁——无论这些软件包在应用程序的实际运行过程中是否会被使用到。当安全隐患被发现时,安全团队就必须协调数千个容器的修复工作,即使这些风险在很大程度上只是理论上的。
尽管面临这些挑战,开发者们似乎已经认识到了更好的解决办法。近48%的受访者认为,预先经过加固、以安全为首要目标的基础镜像才是提升容器安全性的最有效方法。这样的镜像会默认移除不必要的工具和软件包,从而减少漏洞风险,并将后续的维护和补丁工作交给专业的供应商来处理。
“在这项调查的每一个环节中,都有一个核心信息反复出现:各团队都希望获得安全性、高效性以及简洁性,但现有的策略和工具使得这些目标的实现变得十分困难,”BellSoft的首席执行官亚历克斯·贝洛克里洛夫说道。“通过使用经过加固处理的容器镜像,大部分与安全维护相关的工作责任就会转移到镜像供应商身上,这样一来既能减轻运营负担、降低总体拥有成本,又能让容器环境更加稳定、更易于维护,同时具备更高的安全性。”
BellSoft的研究结果表明,随着容器技术的持续普及,各组织不仅需要重新思考如何检测漏洞,还需要重新设计容器的基础设施架构,从以往的被动补丁机制转向主动防护、简化配置且经过加固处理的运行环境。