作为其开源安全现状年度报告的一部分，安全公司Snyk发布了一份特别针对Docker 的安全报告，该报告显示容器镜像中的漏洞广泛存在。Snyk的报告显示，DockerHub中的10大官方Docker镜像（包括node、httpd、postgres、nignx等在内）每个至少有30个漏洞，其中有500多个漏洞的node镜像是顶级攻击者。Docker表示，该问题甚至涉及Docker认证镜像，而这些镜像必须符合最佳实践并通过某些基线测试。

Snyk提供的绝对数字确实令人担忧，但是，它们可能不代表该问题最困难的部分。在很多情况下，修复Docer镜像中的漏洞很容易，使用其依赖项的非易受攻击版本重建镜像就可以了。Snyk表示，多达44%的Docker镜像包含较新版本基础镜像中已删除的漏洞。更令人担忧的是，开发人员普遍缺乏安全的自主意识，他们往往没有意识到自身角色的重要性。Snyk的调查显示，80%的开发人员在开发过程中不会测试他们的镜像，而50%的开发人员根本没有扫描他们的镜像是否存在漏洞。

Snyk表示，处理Docker镜像漏洞的最佳方法取决于三个关键实践。首先，作为一项卫生规则，对于给定的目的，开始的时候，选择使用最小的Docker镜像是非常便利的，不要添加任何不必要的包。其次，在开发和生产过程中都应该定期扫描镜像。最后，应该把镜像作为CI/CD管道的一部分加以重建，并且首选多阶段构建，因为它们有助于优化镜像。

Snyk的开源安全现状报告的范围比Docker生态系统更广。基于对500多位开源开发人员和维护人员的调查，以及来自公共应用程序注册表、库数据集和GitHub存储库的数据最终完成了该报告。

InfoQ就此问题采访了Snyk开发人员倡导者Liran Tal以获得更多信息。

InfoQ：Snyk的报告显示，最近几年，开源库中发现的漏洞数量急剧增加。您是否能谈谈您是如何得到这个结论的？

Liran Tal：根据Snyk从cvedetails收集的信息，Snyk追踪了在一些最流行的Linux发行版上公开的安全状态披露信息。Snyk发现，红帽企业版Linux、Ubuntu和Debian中的安全漏洞在2018年增长了3倍。没错，没有漏掉小数点，增长了近3.5倍。

由于Snyk根据严重程度查看漏洞的细分，我们发现， 2017年和2018年继续呈现了这个趋势，暴露的严重漏洞数量在增加。

InfoQ：提到Docker，底层操作系统和系统库的安全是至关重要的。您能否对该报告提出的问题发表一下评论吗？

Liran Tal：Docker镜像几乎总是会带有已知的漏洞，这也伴随着巨大的价值。系统库当然是操作系统中常见的工件，是构建Docker镜像的基础。随着越来越多的系统库和工具绑定在Docker镜像中，在镜像中发现安全漏洞的风险也随之增加。

大多数漏洞来自我们不显式使用的库。在大多数生态系统中，75%或更多的依赖项不是直接引入的，是通过我们使用的库隐式拉入的，Snyk发现，所追踪的总体漏洞的78%来自间接依赖项。

随着2019年容器持续在IT领域中的爆发性投入使用，容器安全威胁不断上升，现在，组织比以往更加重视把确保镜像安全放在首要位置。

Snyk的开源安全报告有50页之多，包含了很多本文中没有提及的细节。如果您对软件安全及如何改进它感兴趣，请务必阅读该报告。

阅读英文原文：Security Landscape of the Docker Ecosystem and Best Practices

创作场景

InfoQ 访谈：Docker 生态系统的安全形势及最佳实践