Black Duck Programvara på tisdagen meddelat att man har lagt till sitt Nav programvara container-skanningsfunktioner som låter användare karta öppen källkod säkerheten brister för applikationer, Linux-distributioner, och andra program i Docker och andra Linux containers.
Lägga till en container scanner till en Hamnarbetare värd möjliggör automatisk identifiering av kända open source sårbarheter i alla lager av behållare på att vara värd för, sade företaget.
“Vi vet från open source-revisioner vi gör denna användare saknar insyn i open source – [program] de använder och därför inte kan kontrollera det”, sade Brian Carter, Black Duck: s chef för strategisk kommunikation.
Black Duck “automatiskt Id och varulager open source – [program], då kartor kända open source sårbarhet”, sa han till LinuxInsider. Den övervakar också lager för alla nya sårbarheter som upptäcks.
Det har länge varit en öm punkt med användare som cybersäkerhet programvara kan upptäcka enda kända sårbarheter.
Men, “kom ihåg att Heartbleed och andra kända sårbarheter,” Carter påpekade.
Vad Marknaden Behöver
Docker kan ha behov scanning minst lika mycket som användare av Nav programvaran gör. Mer än 30 procent av officiella Docker Hub förråd innehåller bilder som är mycket sårbart för angrepp som Shellshock, Heartbleed och Pudel, enligt en studie
BanyanOps som genomfördes förra året.
Docker upprätthåller en sammanställd lista över officiella förråden genom vilket programvaruleverantörer eller organisationer som kan ge upp-to-date versioner av sina behållare bilder.
Nästan två tredjedelar av de arkiv som har hög eller medelhög prioritet sårbarheter, BanyanOps finns.
Det var ca 75 officiella förråden tillbaka i Maj, med ca 1.600 märken som hänvisar till cirka 960 unika bilder.
Hög profil OpenSSL sårbarheter som Heartbleed och Pudel var närvarande i nästan 10 procent av de officiella Docker Navet bilder. Några av bilderna innehöll också Bash ShellShock.
Docker Nav har också allmänt arkiv — om 95,000 när BanyanOps studie var skrivna — och hundratusentals unika bilder.
BanyanOps vald till 1 700 bilder på måfå för innehåll, analys och fann att det, generellt sett, hög-och medelhög sårbarhet var närvarande i mer än 70 procent av dessa bilder.
Officiella bilder som normalt bygger på Debian, och många av dem innehåller den Mercurial sårbarhet, BanyanOps sagt.
Allmänna bilder tydligen är byggt mer ofta om Ubuntu och har Bash, APT och/eller OpenSSL-relaterade sårbarheter, enligt BanyanOps.
“Behållare har fångat fantasin hos utvecklare eftersom de ger ett bekvämt paket för distribution”, säger Al Hilwa, en forskning som programdirektör på IDC.
“Vi hade väntat sig en mängd olika verktyg för programvaruutveckling för att lägga till stöd för behållare, och i detta sammanhang, är det vettigt att se ledande kod-scanning spelare som Black Duck stöd Docker behållare”, sa han till LinuxInsider.
Men, sårbarhet är inte så mycket en fråga om behållare säkerhet som säkerhet, Hilwa påpekade. “Behållare är helt enkelt en annan leverans-format som måste stödjas.”
Containerization säkerhetsfrågor Oroa DET
Behållare antagande kommer att skjuta i höjden under de närmaste åren, men DET gäller fortfarande, enligt
Red Hat.
Av ca 380 globala IT-beslutsfattare och yrkesverksamma tillfrågade för Red Hat förra året, 67 procent var planering containerization produktion utbyggnader under de kommande två åren.
Men, 60 procent var oroliga för säkerheten och bristen på certifiering.
Skanning Är ett Steg, Inte Bota
Lägga till en container scanner till en Hamnarbetare värd är bara det första steget i kampen mot behållaren sårbarheter.
“Black Duck hjälper till med att dirigera och spåra sanering,” Carter förklarade. “Black Duck inte sanera.”
Sökverktygen gör det möjligt för fler säkra installationer, men utvecklarna måste vidta åtgärder, IDC: s Hilwa sagt.
Kod-scanning-teknik är analogt med antivirusprogram, fortsatte han.
“Ett arkiv av sårbarhet metadata eller signaturer har upprätthållas, och koden har skannats mot det.” Hilwa sagt. “Den roll scanning programvara är att hålla denna metadata uppdaterad.”
Richard Adhikari har skrivit om high-tech för ledande publikationer i industrin sedan 1990-talet och undrar om det hela leder till. Kommer inopererade RFID-chip i människor vara Vilddjurets Märke? Kommer nanotekniken att lösa våra kommande livsmedelskris? Gör Sturgeons Lag håller fortfarande sant? Du kan ansluta med Richard på
Google+.