https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

觀點

研究:雲端容器平均存在超過600個安全漏洞,成為軟體供應鏈最薄弱環節

2024 / 12 / 11
編輯部
研究:雲端容器平均存在超過600個安全漏洞,成為軟體供應鏈最薄弱環節
根據NetRise最新研究報告,容器(Container)已成為軟體供應鏈中成長最快速,同時也是最脆弱的資安環節。研究顯示,平均每個容器有604個已知漏洞,且超過45%的漏洞存在時間為2至10多年。

NetRise研究團隊從Docker Hub最常下載的250個映像檔中隨機選取70個進行分析,並生成詳細的軟體物料清單(SBOM)。結果發現,每個容器映像檔平均包含389個軟體元件,其中八分之一的元件缺乏軟體清單,也就是沒有正式的元數據、相依性資訊、版本號或套件來源等重要資訊。

更令人擔憂的是,在發現的16,557個具有「關鍵」或「高風險」CVSS評分的CVE漏洞中,超過4%已被武器化,可能被殭屍網路用於傳播勒索軟體,或已被威脅行為者用於實際攻擊中。

研究人員表示,「容器技術之所以快速成長,主要是因為其輕量化且易於管理的特性。然而,儘管容器改變了許多現代應用程式的設計、部署和管理方式,但它們似乎已成為軟體供應鏈中最脆弱的資安環節之一。」

研究還發現每個容器平均存在4.8個錯誤配置,包括146個「在tmp目錄外可被任意讀寫的目錄」,以及平均每個容器擁有19.5個用戶名的過度寬鬆身份控制問題。

這些問題似乎已引起業界關注。根據Red Hat的報告,截至2024年,67%的組織因容器和Kubernetes相關的安全考量而延遲或放緩了應用程式部署。然而,根據Anchore 2022年的報告,企業仍計劃在未來24個月擴大容器使用,其中88%計劃增加容器使用,31%計劃顯著增加使用量。

資安專家建議,組織應建立完整的容器安全管理機制,從軟體開發到部署的全生命週期都需要進行監控。具體措施包括:使用自動化工具產生軟體物料清單(SBOM),定期進行容器弱點掃描,並導入風險評估機制,依據威脅情報及時修補高風險漏洞。此外,也應強化容器配置管理,確保存取權限設定符合最小權限原則,避免不必要的系統暴露。

此外,由於傳統的容器掃描工具依賴清單進行分析,可能存在重大的可見性缺口,組織需要建立新的流程和工具來適當降低相關風險。

本文轉載自​helpnetsecurity。