最近使用Docker下载官方容器镜像的时候,我发现这样一句话: ubuntu:14.04: The image you are pulling has been verified (您所拉取的镜像已经经过验证) 起初我以为这条信息引自Docker大力推广的镜像签名系统,因此也就没有继续跟进。后来,研究加密摘要系统的时候Docker用这套系统来对镜像进行安全加固我才有机会更深入的发现,逻辑上整个与镜像安全相关的部分具有一系列系统性问题。 Docker所报告的,一个已下载的镜像经过验证,它基于的仅仅是一个标记清单(signed manifest),而Docker却从未据此清单对镜像的校验和进行验证。一
2015-01-19 15:36 titanous, tinyeyeser
【编者的话】到底Docker Hub上是否三成的镜像存在漏洞?通过漏洞计算发现确实有高比例漏洞,对于官方镜像遵循Docker的安全指南,如若是自创建镜像,可找源仓库或自行处理。但我们发现,这些漏洞中大部分是老镜像。面对漏洞镜像,我们可以采取本地措施,还可用Web安全审查进行检查,如果想让Docker更加安全,建议用dockerbench来评估。文中额外阐述了容器究竟有什么用。 这个数字太神奇了!并不是因为这个比例过高或者过低,而是因为居然存在这个比例。既然存在(相对容易地)计算出这个比例的可能性,也就意味着存在(相对容易地)改善
2015-06-15 14:55 jpetazzo, kurtzhong
安全似乎落后于Docker阵营在其他方面的发展步伐。虽然越来越多的企业在数据中心使用Docker,但管理员们用来保护容器的技术却完全是慢慢站稳脚跟。在许多情况下,正是当初让Docker大受欢迎的功能特性恰恰也暴露了安全漏洞。 Docker网站称赞其容器是即刻奏效的解决方案 什么是没有隔离的内核? Docker依赖Linux内核的功能:建立相互隔离的环境(应用程序在里面运行)。这些容器很精简,因为它们共享同一内核,却在不同的运行时环境中执行,这归功于控制组(cgroup)和命名空间,它们定义了容器可以使用哪些资源。与此同时,容器本身只能看到
2015-12-09 14:15 Sebastian Meyer, 布加迪
Docker公司与Center for Internet Security (CIS)合作,制作了一份基准文档,包含很多针对部署Docker的安全性的建议。Diogo Mnica在一篇博客理解Docker的安全性和最佳实践中公布了该基准,她和Nathan McCauley一起最近受雇来领导Docker的安全团队。该团队也发布了容器安全性入门白皮书。 基准文档涵盖了运行Docker的宿主(系统)的配置、Docker本身的配置,以及在Docker管理下运行的容器的配置。该基准针对Docker 1.6.0,(这是)本文写作时的最新版本,并且基于(使用)红帽企业Linux(RHEL)第7版或Debian第8版作为宿主操作系统(OS
2015-06-13 07:52 Chris Swan, 朱明
更多:• 因错误包含一些非自由的代码,GNU Linux-libre 重新发布 • 网络攻击者现在正悄悄地卖掉受害者的网络带宽
2021-09-01 16:41 硬核老王
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。