水曜日にサンフランシスコで開催されたDockerConで、CEOのスティーブ・シン氏は、セキュリティがDockerの中核原則の1つであることを強調した。
わずか1日前、ドイツに拠点を置くセキュリティソフトウェア開発会社Kromtechは、コードコンテナ化においてセキュリティは優先事項ではないと示唆していた。
Kromtech はブログ投稿で、過去 12 か月間で、コンテナ メーカーのコミュニティ イメージ リポジトリである Docker Hub が、少なくとも 500 万回ダウンロードされた少なくとも 17 個の悪意のある Docker イメージをホストしていたと説明しました。
これらの侵害されたコンテナ ブループリントは対処済みですが、Kromtech は、Docker が Docker セキュリティ スキャン (Docker Hub の Docker オフィシャル イメージおよび Docker Cloud の有料プライベート リポジトリ向けにコンテナ ビジネスが提供していたサービス) の無料プレビューを中止することを決定したことを、セキュリティに対する同社の無関心の表れだと見ています。
「Dockerエコシステムはよりエンタープライズ志向になりつつあり、安全な移行とさらに安全なメンテナンスの責任は一般の開発者に課せられているようだ」とソフトウェア業界は述べた。
「GitHubのようなパブリックリポジトリと同様に、Docker Hubはコミュニティへのサービスのために存在します」とDockerのセキュリティ責任者であるDavid Lawrence氏はThe Register宛ての電子メール声明で述べた。
「オープンなパブリックリポジトリやオープンソースコードを扱う際には、コンテンツの作成者を知ること、実行前にイメージをスキャンすること、そして可能な限りDocker Hubで厳選された公式イメージとDocker Storeの認定コンテンツを使用することなど、いくつかのベストプラクティスに従うことをお勧めします。」
支払えば安全です...
Kromtechの主張は必ずしも公平ではないかもしれません。Docker Security Scanningは引き続きプライベートリポジトリの利用者向けに有料サービスとして提供されるからです。審査済みのイメージはDocker Storeで入手できます。また、Dockerは将来的にはパブリックリポジトリやチーム、組織向けにもスキャンを提供できるようにすることを目指しているとしています。
しかし、エコシステムのセキュリティよりも支払いを優先しているように見えることから、Docker は、ホストされている JavaScript パッケージで度々発生する問題に対応してセキュリティの取り組みを強化してきた npm などの組織と不利に比較されるリスクがあります。
コンテナ関連のセキュリティ問題はDockerに限ったものではありません。Kubernetesインスタンスでも同様の攻撃が報告されています。最も一般的な攻撃目的は、クラウドベースのコードを悪用して仮想通貨マイニングを行うことです。
Docker、クラウドコンテナの拡張にカリフォルニア州の優位性を求める
続きを読む
Dockerは、その短い歴史のほとんどにおいて、セキュリティ上の懸念に悩まされてきました。昨年発表されたこの問題に関する研究論文では、356,218個のDocker Hubイメージに180件の脆弱性が見つかり、より自動化されたセキュリティ更新メカニズムの導入が求められています。
一方で、同社に近い関係者は、脆弱性の数がリスクの規模を誇張していると主張している。2015年、当時Dockerエンジニアだったジェローム・ペタゾーニ氏は、脆弱性のあるDocker Hubイメージの相当数が設計上脆弱であると説明していた。
その理由は?ビルドの再現性です。LinuxまたはWindowsの古くて安全でないバージョンのイメージは、そのOSバージョンでビルドされたコンテナ化されたアプリケーションの再現性を確保するために保持される場合があります。しかし、そのようなアプリは更新されたOSでは動作しない可能性があります。
「一般ユーザーにとって、DockerHub から Docker イメージを取得するだけでは、どこからか任意のバイナリ データを取得して実行し、その内容も知らずに最善の結果を期待するようなものです」と Kromtech は主張しています。
また、コード署名が信頼できない可能性があり、アプリストアの自動マルウェアスキャンではすべてが検出されず、プラットフォームプロバイダーが開発者に何年もの間検出されずに個人データを盗むことを許可している可能性があるため、ほぼすべてのソフトウェアのダウンロードでは最善を期待する必要があるとも言えるでしょう。®
