1. CSN
  2. Всі випуски
  3. Випуск 6, Номер 2, 2024
  4. Методи сканування образу Docker контейнерів на предмет вразливостей безпеки

Методи сканування образу Docker контейнерів на предмет вразливостей безпеки

CSN.
2024;
Випуск 6, Номер 2
: сс. 35-44
https://doi.org/10.23939/csn2024.02.035
Автори:
  1. Дмитро Дарієнко
  2. Назар Когут
1
Національний університет «Львівська політехніка», кафедра захисту інформації
2
Національний університет «Львівська політехніка», кафедра захисту інформації

З розвитком контейнеризованих середовищ, питання безпеки стає критично важливим для розгортання додатків. У цій статті проведено порівняльний аналіз статичного та динамічного методів сканування образів Docker контейнерів. Статичний аналіз використовується для виявлення потенційних вразливостей до розгортання контейнера, тоді як динамічний аналіз проводиться в ізольованому середовищі під час виконання, забезпечуючи надійність продукту. Порівняно роботу сканерів Trivy, JFrog Xray, Snyk і Docker Scout, підкреслено їх переваги, недоліки та ефективність у різних умовах. Доведено, що Trivy знаходить найбільше вразливостей серед протестованих сканерів. Snyk та Xray видають приблизно однакові результати, проте Xray також перевіряє шифрування важливих даних, таких як паролі. Docker Scout виявився найслабшим представником, єдиною перевагою якого є відкритий доступ результатів, які можна проаналізувати без завантаження образу на сервер чи персональний комп’ютер розробника. Особливу увагу приділено статичному аналізу через його ширше покриття вразливостей, включаючи операційні пакети та залежності додатків. Продемонстровано різницю в оцінці критичності вразливостей різними сканерами, а також обговорено, як велика кількість знайдених вразливостей не завжди означає високий рівень ризику. На основі проведеного аналізу запропоновано критерії для вибору сканера, щоб уникнути витоку інформації через непомічені вразливості.

захист інформації
кібербезпека
контейнер
Docker
сканування
вразливість безпеки
  1. A. Ahmed and G. Pierre, « Docker-pi: Docker container deployment in fog computing infrastructures, » International Journal of Cloud Computing, vol. 1, no. 6, 2019. DOI: 10.1109/EDGE.2018.00008
  2. T. Alyas, S. Ali, H. Khan, A. Samad, K. Alissa та M. A. Saleem, «Container Performance and Vulnerability Management for Container Security Using Docker Engine, » Security and Communication Networks, 2022. DOI: 10.1155/2022/6819002
  3. V. Jain, B. Singh, M. Khenwar та M. Sharma, «Static Vulnerability Analysis of Docker Images» в IOP Conference Series: Materials Science and Engineering, Jaipur, India, 2021. DOI: 10.1088/1757-899X/1131/1/012018
  4. Efe, Doç. Dr. Ahmet & Aslan, Ulaş & Kara, Aytekin. (2020). Securing Vulnerabilities in Docker Images. International Journal of Innovative Engineering Applications. 4. 31-39. DOI: 10.46460/ijiea.617181.
  5. Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities. (n.d.). Retrieved from banyanops Available https://www.banyansecurity.io/blog/over-30-of-official-images-in-docker-... (Accessed: 18 March 2024)
  6. R. A. Martin, "Managing vulnerabilities in networked systems," in Computer, vol. 34, no. 11, pp. 32-38, Nov. 2001, DOI: 10.1109/2.963441.
  7. Docker, Inc., «Overview of Docker Desktop» Docker, Inc., [Онлайновий]. Available: https://docs.docker.com/desktop/. (Accessed: 18 March 2024)
  8. C. Hashemi-Pour, S. J. Bigelow та M. Courtemanche «DEFINITION Docker, » TechTarget., [Онлайновий]. Available: https://www.techtarget.com/searchitoperations/definition/Docker/. (Accessed: 18 March 2024)
  9. Five Security concerns when using docker. (n.d.). Retrieved from Oreilly [Онлайновий]. Available: https://www.oreilly.com/ideas/five-security-concerns-when-using-docker (Accessed: 18 March 2024)
  10. Aqua Security Software Ltd., «Data Sources - Trivy,» Aqua Security Software Ltd., [Онлайновий]. Available: https://aquasecurity.github.io/trivy/v0.32/docs/vulnerability/detection/.... (Accessed: 18 March 2024)
  11. Aqua Security Software Ltd., «Data Sources - Trivy,» Aqua Security Software Ltd., [Онлайновий]. Available: https://aquasecurity.github.io/trivy/v0.32/docs/vulnerability/detection/.... (Accessed: 18 March 2024)
  12. Canonical Ltd., «CVE reports, » Canonical Ltd., [Онлайновий]. Available: https://ubuntu.com/security/cves/. (Accessed: 18 March 2024)
  13. Amazon Web Services, Inc., «Amazon Linux Security Center, » Amazon Web Services, Inc., [Онлайновий]. Available: https://alas.aws.amazon.com/. (Accessed: 18 March 2024)
  14. P. Doan та S. Jung, «DAVS: Dockerfile Analysis for Container Image Vulnerability Scanning» Computers, Materials & Continua, т. 72, № 1, pp. 1699-1711, 2022. DOI: 10.32604/cmc.2022.025096
  15. S. Ugale та A. Potgantwar, «Container Security in Cloud Environments: A Comprehensive Analysis and Future Directions for DevSecOps, » в RAiSE, Woodhouse, Leeds, 2023. DOI: 10.3390/engproc2023059057
  16. D. Huang, H. Cui, S. Wen and C. Huang, "Security Analysis and Threats Detection Techniques on Docker Container," 2019 IEEE 5th International Conference on Computer and Communications (ICCC), Chengdu, China,2019, pp. 1214-1220, DOI: 10.1109/ICCC47050.2019.9064441
  17. K. Brady, S. Moon, T. Nguyen and J. Coffman, "Docker Container Security in Cloud Computing" 2020 10th Annual Computing and Communication Workshop and Conference (CCWC), Las Vegas, NV, USA, 2020, pp. 0975-0980, DOI: 10.1109/CCWC47524.2020.9031195.
  18. JFrog Ltd., «JFROG Artifactory» JFrog Ltd., [Онлайновий]. Available: Д.Г. Дарієнко, Н.М. Когут https://jfrog.com/artifactory/. (Accessed: 18 March 2024)
  19. JFrog Ltd., «JFrog Xray» JFrog Ltd., [Онлайновий]. Available: https://jfrog.com/help/r/get-started-with-the-jfrog-platform/jfrog-xray. (Accessed: 18 March 2024)
  20. Aqua Security Software Ltd., «Trivy Documentation,» Aqua Security Software Ltd., [Онлайновий]. Available: https://aquasecurity.github.io/trivy/v0.49/. (Accessed: 18 March 2024)
  21. Snyk Limited, «Snyk Vulnerability Database», Snyk Limited [Онлайновий]. Available: https://security.snyk.io/. (Accessed: 18 March 2024)
  22. Docker, Inc., «Docker Hub» Docker, Inc., [Онлайновий]. Available: https://hub.docker.com/. (Accessed: 18 March 2024)
  23. Red Hat, Inc., «CVE-2023-24538» Red Hat, Inc., [Онлайновий]. Available: https://access.redhat.com/security/cve/cve-2023-24538. (Accessed: 18 March 2024)