Drei Sicherheitsforscher der norwegischen Universität für Technik und Wissenschaft haben rund 2500 Docker-Images unter die Lupe genommen, die auf dem Container-Marktplatz
Docker Hub gespeichert sind. Der Docker Hub unterscheidet zwischen offiziellen, verifizierten, zertifizierten und Community Images.
Ein zertifiziertes Image, wovon auf Docker Hub 51 Stück zu finden sind, muss diverse Best Practices berücksichtigen und automatisierte Tests bestehen. Gerade bei diesem Typ sind die Ergebnisse der Studie ernüchternd: In 82 Prozent davon klafft im Minimum eine schwere oder kritische Sicherheitslücke. Nur in der Kategorie Official mit 160 Einträgen hat Docker-Hub-eigenes Personal die Images explizit auf Verwundbarkeiten geprüft – und sogar hier ermittelte die
Studie, dass 46 Prozent der Images Sicherheitsprobleme aufweisen.
Den Hauptanteil machen hingegen mit über 99 Prozent aller Einträge die Community Images aus, und auch hier sieht stellt sich die Situation nicht besser dar. Acht von zehn der Images mit den schwersten Sicherheitsproblemen gehören zu dieser Kategorie. Ganz generell fanden Katrine Wist, Malene Helsen und Danilo Gligoroski nur in 18 Prozent der untersuchten Images gar keine Sicherheitslecks. Interessant: Am meisten verwundbar waren Images, die Python-Pakete oder die Javascript-Hilfsbibliothek Lodash enthalten.
(ubi)