Análisis de vulnerabilidades para imágenes Docker

Análisis de vulnerabilidades para imágenes Docker

¿Cuántas vulnerabilidades puede tener tú imagen Docker?

Pues puede tener más de las que imaginas. Algunas tienen más de 600 vulnerabilidades. A que no te lo puedes creer. Pues no te preocupes te pondremos ejemplos para que suede todo más claro.

Muchos de nosotros usamos NGINX para servir contenido estático y muchísimo usuarios también lo usan en Docker.

Lo más probable es que tú archivo de Docker contenga está declaración:

FROM nginx

Cómo analizamos las imágenes?

Cada vez que creas un contenedor docker necesitas agregarle los paquetes wlde software que vas a usar en este caso vamos a analizar nginx:latest image. Para ello usaremos Rachel Analyzer, que hace un análisis estático de las vulnerabilidades en las imágenes de Docker. Lo mejor de Rachel es gratis y muy fácil de usar es como un buscador. La única limitación de Rachel es que solo puede hacer un análisis estático de las imágenes públicas. Pero se espera que próximamente se puedan analizar imágenes privadas.

Si por ejemplo buscamos nginx:latest en Rachel Analyzer veremos que la imagen NGINX Docker tiene 71 vulnerabilidades: 4 altas, 21 medianas, 7 bajas, 31 insignificantes y 8 desconocidas.

Si echamos un vistazo más de cerca al informe de Rachel Analyzer, podemos ver una descripción de cada vulnerabilidad y el CVE asociado.

Rachel analisis ngix

Estas vulnerabilidades tienen solución puedes usar puedes resolverlo tú mismo o puedes usar nginx:alpine con 0 vulnerabilidades.

Ngix Alpine Rachel

Ahora imagine que haces una aplicación NodeJS. Lo más seguro es que uses node:latest o node:8.5.0, o tal vez uses 9.5.0

Si volvemos a analizar las vulnerabilidades nos encontramos con el siguiente escenario:

  • La versión 8.5.0 tiene 684 vulnerabilidades
    -La versión 9.5.0 tiene 583 vulnerabilidades

La solución es usar node:9-slim que tiene 80 vulnerabilidades o node:9-alpine que no tiene vulnerabilidades.

Por mi parte os puedo decir que las imágenes Docker pueden ser muy peligrosos para nuestras aplicaciones debido aa la gran cantidad de vulnerabilidades que podemos encontrar. Si nos concienciamos en hacemos un análisis estático de las vulnerabilidades en nuestras imágenes Docker, podemos proteger mejor nuestras aplicaciones y los datos de nuestros usuarios.

Nota: La web de rachelanalyzer fue descontinuada.

Read more