• # vulnerability scanning

    Posté par  (site web personnel) . Évalué à 10.

    mouai, la rédaction est au mieux trompeuse.

    D’après l’analyse de sécurité récente des 4 millions d'images de conteneurs hébergées sur le référentiel Docker Hub

    Il y a beaucoup plus que 4 millions d'images sur le Hub. Sur les derniers chiffre public que j'ai, il y en a 150 millions.

    Après oui une grosse part du problème est que beaucoup de monde a poussé des images, puis ne les maintient pas (ou ne les supprime pas). Donc à un moment donné on découvre des vulnérabilités 🤷‍♂️

    c'est justement pour ça qu'on a entre autre intégré un scanner de vulnérabilités dans Docker Hub : à chaque push on peut avoir un scan de l'image et connaitre les vulnérabilités présentes. https://docs.docker.com/docker-hub/vulnerability-scanning/
    Il est aussi possible de scanner en local : https://docs.docker.com/engine/scan/


    note : je bosse chez Docker, j'ai développé la feature de scan du Docker Hub.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 5.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: vulnerability scanning

        Posté par  (site web personnel) . Évalué à 3.

        certains conteneurs contiennent des logiciels malveillants ou des mineurs de cryptomonnaies

        Oui, c'est un cas assez fréquent malheureusement :-( Lorsque nous en sommes avertis nous les supprimons.

        les risques potentiels à utiliser des dépôts tiers de manière générale

        Oui, globalement il n'y a pas de solution miracle sur ce point. La seule chose c'est de privilégier les dépôts principaux, ou les images vérifiées dans le cadre de Docker. Tout comme on installerait que depuis les dépots debian officiels par exemple.

        les conteneurs sont testé en contexte

        Oui, j'ai vu cette phrase :

        Each image was executed in an isolated controlled environment

        Mais je ne suis pas bien certains de savoir ce que ça veut dire. Beaucoup d'images ne peuvent pas être exécutées simplement (je veux dire un simple docker run sans paramètres, sans variables d'environnement, sans dépendances, etc).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.