Black Duck Programvare på tirsdag annonserte den har lagt til sin Hub programvare container-skanning evner som lar brukerne kart åpen kildekode sikkerhetshull for programmer, Linux distroer, og annen programvare i Docker og andre Linux-beholdere.
Legge til en containerized scanner til en Docker vert muliggjør automatisk identifisering av kjente open source sårbarheter i alle lag av containere på at verten, selskapet sa.
“Vi vet fra åpen kildekode-revisjon utfører vi som brukere manglende synlighet i åpen kildekode [programvare] de bruker, og derfor kan ikke kontrollere det,” sa Brian Carter, Black Duck ‘ s direktør for strategisk kommunikasjon.
Black Duck “automatisk Ider og varelager åpen kildekode [programvare], og deretter kart kjent med åpen kildekode sårbarheter,” fortalte han LinuxInsider. Den overvåker også beholdningen for alle nye sikkerhetsproblemer som er oppdaget.
Det har lenge vært en sår poenget med brukere som cybersecurity programvaren kan bare gjenkjenne kjente sårbarheter.
Imidlertid, husk at Heartbleed og andre var kjente sårbarheter,” Carter påpekt.
Hva Markedets Behov
Docker kan ha behov for skanning evne minst like mye som brukere av Hub-programvare gjør. Mer enn 30 prosent av offisielle Docker Hub arkiver inneholder bilder som er svært utsatt for sikkerhetsangrep som Shellshock, Heartbleed og Puddel, ifølge en studie
BanyanOps utført de siste år.
Docker opprettholder en kuratert liste over offisielle registre som leverandører av programvare eller organisasjoner kan gi up-to-date versjoner av sine container bilder.
Nesten to tredjedeler av kjeldene har høy eller middels prioritet sårbarheter, BanyanOps funnet.
Det var ca 75 offisielle registre tilbake i Mai, med rundt 1600-kodene refererer til ca 960 unike bilder.
Høy-profil OpenSSL sårbarheter som Heartbleed og Puddel var til stede i nesten 10 prosent av den offisielle Docker bilder-Huben. Noen av bildene inneholdt også Bash ShellShock.
Docker Hub har også generelle registre — om 95,000 når BanyanOps studien ble skrevet — og hundrevis av tusenvis av unike bilder.
BanyanOps valgt 1,700 bilder på måfå for innholdet analyse og konkluderte med at det totalt sett er høy og middels store sårbarheter som var til stede i mer enn 70 prosent av disse bildene.
Offisielle bilder som vanligvis er bygget på Debian, og mange av dem inneholder Mercurial sårbarhet, BanyanOps sa.
Generelle bilder som tilsynelatende er bygget mer vanlig på Ubuntu og har Bash, APT og/eller OpenSSL-relaterte sikkerhetsproblemer, i henhold til BanyanOps.
“Containere har fanget fantasien av utviklere fordi de gir praktisk bunter for distribusjon,” sa Al-Hilwa, et forskningsprogram direktør i IDC.
“Vi har ventet på en rekke programvare utviklingen verktøy for å legge til støtte for containere, og i denne sammenheng, det gir mening å se ledende kode-skanning spillere som Black Duck støtte Docker beholdere,” fortalte han LinuxInsider.
Men problemene er ikke så mye et problem i container security as-kode sikkerhet, Hilwa påpekt. “Containere er ganske enkelt en annen levering format som trenger å bli støttet.”
Containerization Sikkerhet Bekymringer Bekymre deg for DET
Beholder adopsjon vil skyte i været i de neste årene, men DET gjelder fortsatt, i henhold til
Red Hat.
På ca 380 globale IT-beslutningstakere og fagfolk undersøkt for Red Hat siste år, 67 prosent var planlegging containerization produksjon utrullering i løpet av de neste to årene.
Men 60 prosent var bekymret for sikkerheten og mangel på sertifisering.
Skanning Er en Trinn, Ikke Kurere
Legge til en containerized scanner til en Docker vert er bare det første skrittet i å bekjempe container sårbarheter.
“Black Duck bidrar til å organisere og spore utbedring,” Carter forklart. “Black Duck ikke avhjelpe.”
Skanning verktøy gi mer sikre distribusjoner, men utviklerne har fortsatt å ta handling, IDCS Hilwa sa.
Kode-skanning teknologi er analogt til virus-skanning programvare, fortsatte han.
“En samling av sårbarhet metadata eller signaturer må opprettholdes, og koden er skannet mot det.” Hilwa sa. “Rollen skanning programvare er for å holde denne metadata opp til dags dato.”
Richard Adhikari har skrevet om high-tech for ledende publikasjoner siden 1990-tallet og under der det er alle fører til. Vil det RFID-chips i mennesker være Dyrets Merke? Vil nanotech løse våre kommende mat krise? Gjør Stør ‘ s Lov fortsatt holder sant? Du kan koble til med Richard på
Google+.