歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
研究:雲端容器平均存在超過600個安全漏洞,成為軟體供應鏈最薄弱環節
2024 / 12 / 11
編輯部
根據NetRise最新研究報告,容器(Container)已成為軟體供應鏈中成長最快速,同時也是最脆弱的資安環節。
研究顯示,平均每個容器有604個已知漏洞,且超過45%的漏洞存在時間為2至10多年。
NetRise研究團隊從Docker Hub最常下載的250個映像檔中隨機選取70個進行分析,並生成詳細的軟體物料清單(SBOM)。結果發現,每個容器映像檔平均包含389個軟體元件,其中八分之一的元件缺乏軟體清單,也就是沒有正式的元數據、相依性資訊、版本號或套件來源等重要資訊。
更令人擔憂的是,
在發現的16,557個具有「關鍵」或「高風險」CVSS評分的CVE漏洞中,超過4%已被武器化,可能被殭屍網路用於傳播勒索軟體,或已被威脅行為者用於實際攻擊中。
研究人員表示,「容器技術之所以快速成長,主要是因為其輕量化且易於管理的特性。然而,儘管容器改變了許多現代應用程式的設計、部署和管理方式,但它們似乎已成為軟體供應鏈中最脆弱的資安環節之一。」
研究還發現每個容器平均存在4.8個錯誤配置,包括146個「在tmp目錄外可被任意讀寫的目錄」,以及平均每個容器擁有19.5個用戶名的過度寬鬆身份控制問題。
這些問題似乎已引起業界關注。根據Red Hat的報告,截至2024年,67%的組織因容器和Kubernetes相關的安全考量而延遲或放緩了應用程式部署。然而,根據Anchore 2022年的報告,企業仍計劃在未來24個月擴大容器使用,其中88%計劃增加容器使用,31%計劃顯著增加使用量。
資安專家建議,組織應建立完整的容器安全管理機制,從軟體開發到部署的全生命週期都需要進行監控。
具體措施包括:使用自動化工具產生軟體物料清單(SBOM),定期進行容器弱點掃描,並導入風險評估機制,依據威脅情報及時修補高風險漏洞。此外,也應強化容器配置管理,確保存取權限設定符合最小權限原則,避免不必要的系統暴露。
此外,由於傳統的容器掃描工具依賴清單進行分析,可能存在重大的可見性缺口,組織需要建立新的流程和工具來適當降低相關風險。
本文轉載自helpnetsecurity。
SBOM
軟體物料清單
容器安全
可視性
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制