Sono oltre 1 miliardo i container Docker scaricati ogni due settimane secondo quanto dichiarato nello State of Open Source Security Report 2019, promosso da Snyk.
La ricerca ha rivelato che ognuna delle prime dieci immagini Docker predefinite più popolari contiene almeno 30 librerie di sistema vulnerabili.
Tali librerie di sistema, poggiando su un'immagine principale che utilizza comunemente come base una distribuzione Linux, sono presenti su molte immagini Docker. Dunque, i docker non sono sicuri come dovrebbero. Come fare? Ce lo spiega Lori MacVittie, Principal Technical Evangelist di F5 Networks.
«Ci troviamo di fronte a un’enormità di immagini vulnerabili che vengono scaricate in ogni momento dalle organizzazioni. Non sorprende, quindi, che lo State of Container Security 2019 di Tripwire abbia riscontrato tale percentuale allarmante».
Continua il manager: «Il 60% degli intervistati negli ultimi dodici mesi ha subito un incidente di sicurezza che ha riguardato i container. Peggio ancora, un intervistato su cinque (il 17%) ha dichiarato che l'organizzazione era a conoscenza delle vulnerabilità, ma ha comunque deciso di implementare le immagini».
Secondo F5 Networks, possiamo fare di meglio: la velocità è importante, anche nella containerizzazione, ma senza la sicurezza è pericolosa, non solo per l'organizzazione, anche per i clienti che useranno app mal distribuite.
Per questo motivo, secondo l'azienda, una containerizzazione sicura debba prevedere cinque passaggi fondamentali:
- Valutare il reale utilizzo - Molte organizzazioni non sono consapevoli di quanto sia pervasivo il loro consumo di immagini/sorgenti open source e di terze parti. Averne la consapevolezza rappresenta un primo passo importante. Non si può pensare di affrontare le vulnerabilità di un software senza nemmeno sapere che lo si sta utilizzando.
- Standardizzare - cercare di identificare un terreno comune tra applicazioni e le operation per standardizzare il minor numero possibile di immagini/componenti del container. Un approccio di questo tipo consente di distribuire l'onere della sicurezza in tutta l'organizzazione e si traduce alla fine in un livello di sicurezza maggiore per tutti.
- Controllare la sicurezza del codice tramite review costanti - Nel caso vengano incluse componenti o script di terze parti (cosa che avviene quasi sempre) vanno sempre analizzate e distribuite/costruite a partire da un repository privato.
- Promuovere gli audit sulla sicurezza del container. Quando si consumano immagini di terze parti, è necessario promuovere audit specifici e certificare la loro sicurezza, per poi effettuare la delivery da un repository privato.
- Tenersi informati sulle nuove vulnerabilità – Se si fa affidamento su un’immagine o codice sorgente, è necessario iscriversi ai canali dedicati alla sicurezza dei container che comunicano le potenziali vulnerabilità. Dopo tutto, il sapere rappresenta sempre l’arma più potente per vincere ogni battaglia.
