研究显示:平均每个软件容器中发现600多个漏洞
研究显示:平均每个软件容器中发现600多个漏洞
内生安全联盟 2024-12-17 07:02
根据NetRise的最新研究,平均每个软件容器的底层组件中存在
604个已知漏洞,其中45%以上的漏洞存在2至10多年,7.9%的漏洞存在5年以上,
而4.2%被认为是“关键”或“高”的漏洞还被归类为“武器化”,并在现实世界的攻击中被积极利用。
NetRise的首席执行官托马斯-佩斯(Thomas
Pace)表示,“容器技术的采用正在迅速增长,主要是因为它轻量级且易于管理,并且容器改变了许多现代应用程序的设计、部署和管理方式,但它们似乎是软件供应链中最薄弱的网络安全环节。”
01
容器:软件供应链中日益增长的风险
NetRise的研究强调了容器化软件的复杂性,分析的每个容器镜像平均包含389个软件组件。令人震惊的是,12.4%的组件缺乏基本元数据或清单,而清单提供了依赖关系和版本号等重要细节。这些“无清单”组件阻碍了传统扫描工具的使用,给组织留下了可视性缺口,可能会被黑客利用。此外,平均每个容器发现4.8个错误配置,常见问题包括146个权限过于宽松的目录和平均每个容器19.5个唯一用户名,从而增加了潜在漏洞的攻击面。进一步的分析表明,28%的容器的配置可能允许root访问,从而加大了敏感数据的风险。
NetRise采用先进的软件物料清单(SBOM)方法,从Docker Hub下载量最大的资源库中随机抽取 70 个容器映像生成详细的SBOM。这种方法使该公司能够识别每个容器中的所有软件组件,包括第三方库和依赖项。研究的风险评估既评估了已知漏洞(CVE),也评估了非CVE风险,如过时组件和配置错误。利用通用漏洞评分系统(CVSS)排名对漏洞进行了优先排序,重点关注在野外被积极利用的武器化漏洞。
02
软件物料清单(SBOM)提高容器安全
尽管存在这些漏洞,但容器的使用率仍在继续上升。该研究引用的2022年Anchore调查发现,88%的企业计划在两年内扩大容器的采用,其中31%的企业预计将大幅增长。然而,安全问题正在影响部署战略。红帽公司2024年的一项研究显示,67%的企业因容器安全问题而推迟或放慢了应用部署。
该研究还强调了传统工具无法解决与容器化软件相关的各种风险。NetRise发现,27,261个受分析组件中有3,390个“无清单”,这在可视性方面造成了严重的差距,使合规和审计工作变得更加复杂。由于缺乏透明度,很难识别非CVE漏洞。
NetRise的研究强调了采用SBOM来提高容器化软件组件可见性的重要性。通过生成详细的SBOM清单,企业可以更好地管理与分析容器中16,557个已识别CVE相关的风险。研究还建议整合自动化工具,以检测过时的组件、错误配置以及可能尚未公开披露的潜在安全漏洞。此外,该研究还强调,40.9%的CVE被归类为严重或高度严重,这说明需要立即采取补救措施。高级威胁情报系统可以提供可操作的见解,帮助企业更有效地确定漏洞的优先级。
原文地址:
https://www.techmonitor.ai/technology/cybersecurity/software-container-vulnerabilities-study
来源:
数世咨询 编译:闫志坤
热点聚焦
HOT!!
可信内生安全、变结构拟态计算技术等入选“新一代信息工程科技新质生产力技术备选清单(2024)”
迎接网络韧性新时代!第四届网络空间内生安全学术大会暨第七届“强网”拟态防御国际精英挑战赛完美收官
蓝皮书下载 | 第四届网络空间内生安全学术大会,五本蓝皮书重磅发布
Security and Safety(S&S)2024年度突出贡献编委、优秀编委、优秀客座编辑、优秀审稿人、优秀论文名单揭晓
正式发布!网络空间内生安全理论和标准体系入选信息通信领域十大科技进展(附手册)
| 往期回顾
解析!中办、国办:推动新一代信息技术与城市基础设施建设深度融合,推动城市基础设施数字化改造,构建智能高效的新型城市基础设施体系