歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
研究:雲端容器平均存在超過600個安全漏洞,成為軟體供應鏈最薄弱環節
2024 / 12 / 11
編輯部
根據NetRise最新研究報告,容器(Container)已成為軟體供應鏈中成長最快速,同時也是最脆弱的資安環節。
研究顯示,平均每個容器有604個已知漏洞,且超過45%的漏洞存在時間為2至10多年。
NetRise研究團隊從Docker Hub最常下載的250個映像檔中隨機選取70個進行分析,並生成詳細的軟體物料清單(SBOM)。結果發現,每個容器映像檔平均包含389個軟體元件,其中八分之一的元件缺乏軟體清單,也就是沒有正式的元數據、相依性資訊、版本號或套件來源等重要資訊。
更令人擔憂的是,
在發現的16,557個具有「關鍵」或「高風險」CVSS評分的CVE漏洞中,超過4%已被武器化,可能被殭屍網路用於傳播勒索軟體,或已被威脅行為者用於實際攻擊中。
研究人員表示,「容器技術之所以快速成長,主要是因為其輕量化且易於管理的特性。然而,儘管容器改變了許多現代應用程式的設計、部署和管理方式,但它們似乎已成為軟體供應鏈中最脆弱的資安環節之一。」
研究還發現每個容器平均存在4.8個錯誤配置,包括146個「在tmp目錄外可被任意讀寫的目錄」,以及平均每個容器擁有19.5個用戶名的過度寬鬆身份控制問題。
這些問題似乎已引起業界關注。根據Red Hat的報告,截至2024年,67%的組織因容器和Kubernetes相關的安全考量而延遲或放緩了應用程式部署。然而,根據Anchore 2022年的報告,企業仍計劃在未來24個月擴大容器使用,其中88%計劃增加容器使用,31%計劃顯著增加使用量。
資安專家建議,組織應建立完整的容器安全管理機制,從軟體開發到部署的全生命週期都需要進行監控。
具體措施包括:使用自動化工具產生軟體物料清單(SBOM),定期進行容器弱點掃描,並導入風險評估機制,依據威脅情報及時修補高風險漏洞。此外,也應強化容器配置管理,確保存取權限設定符合最小權限原則,避免不必要的系統暴露。
此外,由於傳統的容器掃描工具依賴清單進行分析,可能存在重大的可見性缺口,組織需要建立新的流程和工具來適當降低相關風險。
本文轉載自helpnetsecurity。
SBOM
軟體物料清單
容器安全
可視性
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.21
漢昕科技X線上資安黑白講【零信任資安:從身份驗證、裝置管理到網路存取全方位防護】2025/5/21全面開講!
2025.05.28
資安事件分析與惡意封包分析
2025.06.07
踏入資安界的第一步! 資安人才培育計畫:【資安顧問師】與【資安維運工程師】熱烈招生中
2025.06.08
【三天密集培訓】iPAS 資訊安全工程師中級證照培訓班
看更多活動
大家都在看
華碩 DriverHub 驚爆遠端程式碼執行漏洞 攻擊者可透過惡意網站一鍵入侵
第七期國家資通安全發展方案出爐!政府攜手產業建構數位信賴社會
英國發布軟體安全實務守則,重塑軟體開發標準
Meta 推 LlamaFirewall 框架以防止 AI 越獄、注入攻擊及不安全程式碼
HPE擴展零信任網路與私有雲營運解決方案,重新定義雲端安全
資安人科技網
文章推薦
報告:台灣87% 惡意檔案來自電郵 企業需加強郵件防護
第七期國家資通安全發展方案出爐!政府攜手產業建構數位信賴社會
華碩 DriverHub 驚爆遠端程式碼執行漏洞 攻擊者可透過惡意網站一鍵入侵