研究：雲端容器平均存在超過600個安全漏洞，成為軟體供應鏈最薄弱環節

根據NetRise最新研究報告，容器（Container）已成為軟體供應鏈中成長最快速，同時也是最脆弱的資安環節。研究顯示，平均每個容器有604個已知漏洞，且超過45%的漏洞存在時間為2至10多年。

NetRise研究團隊從Docker Hub最常下載的250個映像檔中隨機選取70個進行分析，並生成詳細的軟體物料清單（SBOM）。結果發現，每個容器映像檔平均包含389個軟體元件，其中八分之一的元件缺乏軟體清單，也就是沒有正式的元數據、相依性資訊、版本號或套件來源等重要資訊。

更令人擔憂的是，在發現的16,557個具有「關鍵」或「高風險」CVSS評分的CVE漏洞中，超過4%已被武器化，可能被殭屍網路用於傳播勒索軟體，或已被威脅行為者用於實際攻擊中。

研究人員表示，「容器技術之所以快速成長，主要是因為其輕量化且易於管理的特性。然而，儘管容器改變了許多現代應用程式的設計、部署和管理方式，但它們似乎已成為軟體供應鏈中最脆弱的資安環節之一。」

研究還發現每個容器平均存在4.8個錯誤配置，包括146個「在tmp目錄外可被任意讀寫的目錄」，以及平均每個容器擁有19.5個用戶名的過度寬鬆身份控制問題。

這些問題似乎已引起業界關注。根據Red Hat的報告，截至2024年，67%的組織因容器和Kubernetes相關的安全考量而延遲或放緩了應用程式部署。然而，根據Anchore 2022年的報告，企業仍計劃在未來24個月擴大容器使用，其中88%計劃增加容器使用，31%計劃顯著增加使用量。

資安專家建議，組織應建立完整的容器安全管理機制，從軟體開發到部署的全生命週期都需要進行監控。具體措施包括：使用自動化工具產生軟體物料清單（SBOM），定期進行容器弱點掃描，並導入風險評估機制，依據威脅情報及時修補高風險漏洞。此外，也應強化容器配置管理，確保存取權限設定符合最小權限原則，避免不必要的系統暴露。

此外，由於傳統的容器掃描工具依賴清單進行分析，可能存在重大的可見性缺口，組織需要建立新的流程和工具來適當降低相關風險。

本文轉載自​helpnetsecurity。