یکی از موضوعات اصلی مطرح شده در DockerCon ، مسئله ی نفوذ به اطلاعات Docker Hub بود ، اما اکثر کاربران معتقدند چون عموماً کانتینرهای آنها قفل دارند، این مسئله تأثیر چندانی بر شرکتهایشان ندارد
شرکت Docker در کنفرانس سالانه ی خود ، فرصتی به دست آورد تا در کنار معرفی آخرین به روزرسانیهای پلت فرم و کانتینر خود ، در خصوص مسئله ی نفوذ به داده های این شرکت نیز صحبت کند . با وجود تمام تضمینهایی که این شرکت می دهد ، برخی از مشتریان هنوز بسیار محتاطانه رفتار می کنند.
در 25 آوریل، این شرکت ، نفوذ به داده های Docker Hub ، مخزن image اپلیکیشنهای رایگان Docker ، را شناسایی کرد که تنها شامل حدود 190000 حساب کاربری یا کمتر از 5% از کاربران این شرکت شده بود. به گفته ی مدیر پشتیبانی شرکت Docker ، این قضیه شامل نام کاربری و کلمه عبور رمزگذاری شده ی کاربران Docker و رمزهای GitHub و Atlassian Bitbucket برای Docker autobuilds شده است . وی اضافه کرد که تمام این رمزها باطل شده اند .
مسئول CTO شرکت Docker در سخنرانی رسمی خود در DockerCon مجدداً بر تعهد شرکت در خصوص رعایت موارد امنیتی و رویکرد طراحی ایمن این شرکت تأکید کرد. وی بیان داشت :" ما در حد امکان تمام تلاشمان را در این زمینه به کار خواهیم بست. "
مسئول CEO این شرکت در جلسه ی مطبوعاتی که پس از کنفرانس برگزار شد ، اظهار داشت که هکر ها همواره به دنبال حمله به سیستمها ، حتی سیستمهایی که مانند Docker به صورت ایمن طراحی شده اند ، هستند. مسئله ی نفوذ به اطلاعات Docker Hub تحت بررسی دقیق است و این شرکت لیستی از کسانی که می توانند از خارج از سازمان به بررسی دقیق موضوع کمک کنند ، تهیه کرده است. وی اظهار داشت کمک گرفتن از خارج از سازمان شیوه ی استاندارد برخورد با این مسئله است و "این روش ، مدل استاندارد حرفه ای برخورد با این مسائل است. "
وی اضافه کرد که Docker همچنان به مسئله ی امنیت در محصولات خود ، به ویژه در کانتینرهای به کار رفته در IoT ( سرور ابری و سرور مجازی ) و اپلیکیشنهای مورد استفاده ی کاربران نهایی توجه خواهد کرد. شرکت Docker برای ساخت یک لایه ی امنیتی که در هر پلتفرمی قابل استفاده باشد ، در حال همکاری با شرکتهایی همچون ARM و Intel است ؛ این لایه ی امنیتی با استفاده از ماژولهای امنیتی موجود در پلتفرم مورد استفاده ، به صورت خودکار امن ترین گزینه ی موجود را انتخاب خواهد کرد.
کاربران امنیت Docker Hub را زیر سوال برده اند
با وجود تضمین های شرکت Docker ، سه مهندس از صنایع بیمه و مراقبتهای بهداشتی گفتند که کار خود را به خاطر این مسئله ، متوقف کرده اند. یکی از این سه تن که خواست نامش فاش نشود ، با اینکه معتقد بود که به نظر می رسد شرکت Docker مشکل را حل کرده است اما اظهار داشت :" ما کار خود را متوقف کرده ایم ، زیرا ممکن است خطراتی وجود داشته باشند که هنوز شناسایی نشده اند ." مهندس شاغل در صنایع بهداشتی نیز که می خواست نامش فاش نشود ، گفت سازمانها می توانند با کنترل دقیق مصنوعات خود ، میزان بروز حوادثی از این دست را به حداقل برسانند. وی اضافه کرد : " تقریباً همه برای ردیابی محصولات داخلی خود از JFrog استفاده می کنند تا خود و شرکتشان را در معرض اینگونه حملات قرار ندهند. وی اضافه کرد ، که حداقل در صنایع بهداشتی ، قوانین و قانون گذاران از ابزارهای جدید ، به ویژه ابزارهای امنیتی جدید استفاده نمی کنند.
یک مهندس نرم افزار از شرکت Midwestern telecom که او نیز خواست نامش فاش نشود ، گفت : نگرانی چندانی در مورد این مشکل ندارد و ظاهراً شرکت Docker به بهترین شکل ممکن آن را مدیریت کرده است. وی افزود : "رمزهای امنیتی مورد استفاده در سرور مجازی فرایند automated build در این مسئله آسیب دیدند ، اما Docker تمام این رمزها را باطل کرد و این بهترین کاری بود که می شد کرد. "
مدیر مجموعه کوبرنتیز در Red Hat نیز گفت: که نگرانی خاصی در مورد مشکل امنیتی Docker Hub ندارد ، نخست به خاطر آنکه Red Hat از Docker Hub استفاده نمی کند و دوم به خاطر ماهیت ذاتی Docker Hub . وی گفت : " Docker Hub فقط یک محلی برای برقراری اتصال است ، در حقیقت هیچکس اسیب ندیده است. " یکی از مسئولین شرکت MacStadium ، تولید کننده ی Ci/ CD و سرویسهای DevOps برای محیطهای Mac ، اظهار داشت از آنجا که مدلهای امنیتی سنتی در مورد کانتینرها به کار نمی روند ، رعایت مسائل امنیتی در استفاده از آنها می تواند هم مفید باشد و هم باعث ضرر و آسیب شود.
از یک سو ، استفاده از کانتینر ( سرور ابری و سرور مجازی) سبب افزایش امنیت می شود ، زیرا هر چیز در کانتینر مخصوص به خودش قرار داده می شود ؛ اما از طرف دیگر باید بر تمام کانتینرها نظارت دقیق داشته باشید تا بدانید هر کانتینر با چه کسی ارتباط برقرار می کند. مسلماً مایل نیستید که به یک کانتینر ناامن متصل شوید. به همین دلیل است که کانتینرها را به صورت مکرر و زود به زود از نظر ایمنی اسکن می کنند. شما باید قبل از استفاده از یک محصول نسبت به آن بدبین باشید و تمام موارد امنیتی آن را در نظر بگیرید و پس از استفاده از یک محصول، نسبت به آن خوشبین باشید و در تمام مراحل کار و مدت استفاده از آن اپلیکیشن موارد امنیتی را رعایت کنید.
- ۹۸/۰۴/۲۵