iT邦幫忙

0

Container Image 漏洞掃描結果問題

  • 分享至 

  • xImage

公司沒有資安人員,想詢問 2 個問題,我們自製的 nginx 1.16.1(alpine 3.10.2) 在漏洞掃描沒有掃到 nginx 漏洞,但有掃到 image 其他嚴重及高等級漏洞
https://ithelp.ithome.com.tw/upload/images/20221208/20094721Gb390oxxmE.jpg

想詢問
一、雖然我還是會更新 image ,但以漏洞掃描,是否不管是不是 nginx 漏洞,都還是需要修的?
二、自製的沒掃到 nginx 1.16.1 漏洞,從 Docker 抓的 nginx 1.16.1(debian 10.3) 有掃到,這樣倒底是有沒有洞?是得再看其他 nginx module 有沒有洞嗎
https://ithelp.ithome.com.tw/upload/images/20221208/20094721L7PKWrZTEO.jpg

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

4
Ray
iT邦大神 1 級 ‧ 2022-12-09 10:39:17
最佳解答
  1. 當然要修
  2. 漏洞不是只單看 nginx package, 是整個 OS package 都要一起看, 所以即便 nginx 他自己沒洞, 但是 OS 本身有洞沒補, 仍然算是缺失 (只要有弱點就可能有風險, 不管是 nginx 還是 OS)

尤其你圖上掃出來的分級是 Critical 和 High, 這兩種等級都是非補不可的.

當然, 你也可以論述說:
那幾個掃出來的 CVE, 在你的應用場景內不會遇到, 所以不會被觸發.
不過, 這樣的論述不能是單方面的 (你說沒有就真的沒有嗎?), 要找一個第三方來證明:你論述的場景有極高的可信度 (例如: 信心度 99% 以上? 不是你自己說喔, 是要第三方驗證單位來評斷); 這就像是 ISO 27001 裡面的適用性聲明: 你可以自己宣稱某個控制措施不適用, 但這個宣稱須要由第三方來稽核與認可, 才會放行.

所以可以評估一下:
是找一個第三方來證明你不需補這個洞, 比較簡單?
還是自己把這個洞補到掃不出來, 哪一個比較簡單?

所有 Image 拿下來 Build 的時候, 都應該先在 Dockerfile 裡面跑一次 OS 層級的 package update (以 dabina 來說應該是 apt-get update 或者 apt dist-upgrade), 才開始安裝你要的軟體, 不是拿了別人 Build 好的 Image 來, 就可以蒙著眼盲目的上線, 畢竟提供 Image 的人, 並沒有義務要為你的安全負責 (你也沒付錢給她做這件事--安全通常是要付出成本與代價的; 免費的安全經常暗藏其他心機)...

你的資安應該是自己要能很清楚的掌握, 不應該盲目依賴別人提供的黑箱內容.

順便提醒一下, Debian 10 已經在 2022/9/10 EOL 了:
https://wiki.debian.org/DebianReleases#Current_Releases.2FRepositories
資安的原則是: 不要在正式上線環境, 使用任何原廠已經 EOL 的產品.

所以請盡快將所有 Debian 10 都升級到 11 為宜, 否則將來你掃出來的漏洞會越來越多 (因為已經 EOL 的產品, 不會再出修補套件, 即便你可以掃出漏洞, 但他也沒有辦法補了, 那個洞就永遠存在)

vicentli iT邦研究生 4 級 ‧ 2022-12-09 18:04:09 檢舉

雷神大回答的太棒惹,切中我所想了解的重點,更提醒我
"所有 Image 拿下來 Build 的時候, 都應該先在 Dockerfile 裡面跑一次 OS 層級的 package update"
之前也一直在想需不需要做,每個 Build Pipeline 都要跑,有點花時間,不過我們營運環境真的很少去更換新的 Image 版本,這樣再不更新 package 會把自己置於風險中

我要發表回答

立即登入回答