大家好,今天来为大家分享一元挖矿网站源码分享的一些知识点,和一元赚钱app下载的问题解析,大家要是都明白,那么可以忽略,如果不太清楚的话可以看看本篇文章,相信很大概率可以解决您的问题,接下来我们就一起来看看吧!
通过扫描DockerHub中的400万个容器镜像,Prevasio发现,其中有51%的镜像存在高危漏洞,并且有6432个镜像包含病毒或恶意程序。
据悉,Prevasio是一家聚焦容器安全的网络安全创业公司。数月前,这家公司宣布对托管在DockerHub上的400万个容器镜像完成了扫描。
扫描结果令人大吃一惊:
在400万个容器镜像中,超过一半的容器镜像存在一个或多个高危漏洞。某种意义上,这些有安全隐患的容器镜像可能被潜在地利用;
6432个危险镜像占DockerHub公开可利用镜像总数的0.16%,它们累计被下载了超过3亿次;
有些原始的镜像并非恶意的,但是在下载时,它们却被植入脚本来运行挖矿的源代码,在编译后执行。
最大的互联网公共应用仓库:DockerHub
Prevasio报告称,“自从容器技术在20年前被发明以来,世界在如何构建、部署和管理应用上见证了一个革命性的飞跃。”
今天,随着云原生时代的到来,容器技术越来越受欢迎。
目前,DockerHub上有超过400万个公开的Docker容器镜像。据悉,仅在2020年1月,DockerHub中的Docker镜像拉取次数(下载)就高达80亿,并且还在不断增加。2020年全年,Docker镜像的拉取次数(下载)将近1000亿次,远远超过了GooglePlay270万Android应用一年840亿次的下载次数。
毫无疑问,DockerHub已经成为最大的互联网公共应用仓库。
有业内专家对InfoQ表示,“虽然镜像仓库的规模呈指数级增长,但是其安全形势却不容乐观。”
在2019年,开源安全公司Snyk发现,10大最流行的Docker镜像中,每个镜像至少有30个安全漏洞。
科技媒体ZDNet此前发表了一篇名为《Dockermalwareisnowcommon,sodevsneedtotakeDockersecurityseriously》的文章。文章开篇写道,“随着云原生技术的流行,网络犯罪团队开始瞄准Docker和Kubernetes系统。”
以恶意软件为例。过去几年,有些恶意软件会扫描用于Docker的服务器,比如Doki、Ngrok、Kinsing(H2miner)、XORDDOS、AESDDOS、TeamTNT、Xanthe等。这些恶意软件专门搜寻将Docker管理API暴露在网上的服务器,利用它们部署恶意的OS镜像,从而植入后门或安装加密货币挖矿程序。
DockerHub中的安全风险
该专家指出,DockerHub中存在四类安全风险:
泛滥的矿机程序;
通过公开的制品库(像npm等)传播的恶意程序;
开发者在镜像中大量使用GoLang、PowerShell这样的跨平台语言,也给攻击者提供了捷径。攻击者只需通过一种攻击方式和语言就可以在跨平台的主机上随意执行;
一些镜像可能不直接包含恶意程序或漏洞,而是部署了给攻击者提供入侵工具的平台框架或是在运行时刻动态下载攻击脚本,从而避开常规的静态镜像安全扫描。
目前,DockerHub中最常见的一类安全风险是加密货币挖矿。比如,在2018年,安全厂商Fortinet与Kromtech发现17个受感染的Docker容器,它们以公开可下载镜像的形式存在,其中包含可用于挖掘加密货币的程序。后续调查发现,这些镜像的下载次数高达500万次,这意味着黑客能将命令注入这些不安全的容器中,从而将相关代码注入到其他合法的Web应用程序中。
2020年8月,PaloAlto安全团队发现有攻击者在Docker容器中注入木马,进行劫持挖矿,并使用DockerHub分发恶意镜像。一个名为azurenql的DockerHub账号从2019年10月开始一直处于活动状态,并托管了六个用于包含挖掘Monero的恶意木马。镜像中的挖矿木马通过使用ProxyChains和Tor的网络匿名化工具来逃避网络检测。账户上托管的镜像累计拉取次数超过200万,攻击者至少赚取了36000美元。
有些容器镜像看似安全,实则不然,它会在运行时下载恶意负载。
众所周知,每个Docker镜像包都有运行应用程序所需的依赖项。因此,应用程序可以在任何平台、操作系统和基础结构上以相同的方式运行,恶意应用程序也能以同样的方式部署。攻击者使用DockerHub/Quay等公共容器注册中心来存储和传递恶意容器镜像。由于DockerHub是大多数Docker主机的默认注册表,因此经常用于存储和传递恶意镜像。这些恶意镜像被作为容器直接安装并运行在受损主机上,它们通常只是窃取CPU、内存或网络资源,而不会损害同一主机上的其他容器或进程。
对企业而言,镜像安全风险会直接影响其线上业务的安全稳定性,企业赖以生存的基础设施可能因为镜像构建流程中不经意的几行代码沦为矿机。
七大措施保障镜像安全
无论对开发团队,还是对企业来说,容器镜像的安全性至关重要。那么,可以采取哪些措施呢?有专业人士给出以下建议:
第一,权限隔离,实行细粒度的访问控制;
第二,使用镜像扫描工具,动态更新漏洞库,实时监控和发现镜像漏洞;
第三,建立完备的仓库操作审计;
第四,实行镜像签名;
第五,镜像最小化;
第六,使用可信的容器镜像,绝不从不可信的公开仓库中下载镜像;
第七,规范化镜像构建:不要泄露敏感信息(证书密钥、密码、认证token等),COPY比ADD更安全,当COPY嵌套目录时注意其中的敏感信息,使用linter工具提高dockerfile质量。
企业需要规范业务开发流程,面向云原生零信任的网络环境,面向容器技术和K8s带来的敏捷、弹性和可扩展等特性,升级自己的安全防护技术,提升防护意识,保证软件供应链的安全性。
有专业人士对InfoQ记者说:“在云原生的大背景下,除了Docker镜像和其他云原生制品的供应链安全外,对于提供服务的云厂商和部署业务应用的企业,它们还需要关注底层基础设施的安全性和业务应用在运行时刻的安全。”
延伸阅读:
一份处理宕机的应急响应入门指南-InfoQ
关注我并转发此篇文章,私信我“领取资料”,即可免费获得InfoQ价值4999元迷你书,点击文末「了解更多」,即可移步InfoQ官网,获取最新资讯~
OK,关于一元挖矿网站源码分享和一元赚钱app下载的内容到此结束了,希望对大家有所帮助。