歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
研究:雲端容器平均存在超過600個安全漏洞,成為軟體供應鏈最薄弱環節
2024 / 12 / 11
編輯部
根據NetRise最新研究報告,容器(Container)已成為軟體供應鏈中成長最快速,同時也是最脆弱的資安環節。
研究顯示,平均每個容器有604個已知漏洞,且超過45%的漏洞存在時間為2至10多年。
NetRise研究團隊從Docker Hub最常下載的250個映像檔中隨機選取70個進行分析,並生成詳細的軟體物料清單(SBOM)。結果發現,每個容器映像檔平均包含389個軟體元件,其中八分之一的元件缺乏軟體清單,也就是沒有正式的元數據、相依性資訊、版本號或套件來源等重要資訊。
更令人擔憂的是,
在發現的16,557個具有「關鍵」或「高風險」CVSS評分的CVE漏洞中,超過4%已被武器化,可能被殭屍網路用於傳播勒索軟體,或已被威脅行為者用於實際攻擊中。
研究人員表示,「容器技術之所以快速成長,主要是因為其輕量化且易於管理的特性。然而,儘管容器改變了許多現代應用程式的設計、部署和管理方式,但它們似乎已成為軟體供應鏈中最脆弱的資安環節之一。」
研究還發現每個容器平均存在4.8個錯誤配置,包括146個「在tmp目錄外可被任意讀寫的目錄」,以及平均每個容器擁有19.5個用戶名的過度寬鬆身份控制問題。
這些問題似乎已引起業界關注。根據Red Hat的報告,截至2024年,67%的組織因容器和Kubernetes相關的安全考量而延遲或放緩了應用程式部署。然而,根據Anchore 2022年的報告,企業仍計劃在未來24個月擴大容器使用,其中88%計劃增加容器使用,31%計劃顯著增加使用量。
資安專家建議,組織應建立完整的容器安全管理機制,從軟體開發到部署的全生命週期都需要進行監控。
具體措施包括:使用自動化工具產生軟體物料清單(SBOM),定期進行容器弱點掃描,並導入風險評估機制,依據威脅情報及時修補高風險漏洞。此外,也應強化容器配置管理,確保存取權限設定符合最小權限原則,避免不必要的系統暴露。
此外,由於傳統的容器掃描工具依賴清單進行分析,可能存在重大的可見性缺口,組織需要建立新的流程和工具來適當降低相關風險。
本文轉載自helpnetsecurity。
SBOM
軟體物料清單
容器安全
可視性
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
美國FTC提告GoDaddy長年網路安全防護不足
美國CERT示警:420萬台設備存在通道協定漏洞,VPN和路由器皆受影響
資安人科技網
文章推薦
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
Cloudflare CDN漏洞恐洩露用戶位置資訊
OT與IT系統融合:資安環境新挑戰