Docker: Container-Images mit Trivy auf Sicherheitslücken durchleuchten

Welche Abhängigkeiten im Docker-Image stecken und ob sie Sicherheitslücken mitbringen, ist nicht immer offensichtlich. Mit Trivy finden Sie es einfach heraus.

Artikel verschenken

18.11.2021, 07:00 Uhr

Lesezeit: 6 Min.

c't Magazin

Von

Niklas Dierking

Docker: Container-Images mit Trivy auf Sicherheitslücken durchleuchten
Images durchleuchten
Schwachstellen filtern
Fazit

Artikel in c't 24/2021 lesen

Container erfreuen sich bei Entwicklern, Administratoren und Anwendern großer Beliebtheit, weil sie viel Arbeit abnehmen. Alle Abhängigkeiten, die ein laufender Prozess im Container benötigt, stecken bereits im Container-Image.

Der Docker Hub ist die größte Sammlung von Container-Images (eine sogenannte Container-Registry). Dort kann jeder Images für alle möglichen Anwendungsbereiche hochladen. Ob ein Image vertrauenswürdig ist oder Sicherheitslücken enthält, ist jedoch nicht leicht auf Anhieb zu erkennen.

Ein Forscherteam der Technisch-Naturwissenschaftlichen Universität Norwegen untersuchte im vergangenen Jahr 2500 zufällig ausgewählte Docker-Images (Studie als PDF) aus dem Docker Hub auf bekannte Sicherheitslücken. Von den zertifizierten Images wiesen 82 Prozent mindestens eine Sicherheitslücke auf, die laut Bewertungssystem CVSS (Common Vulnerability Scoring System) als "schwerwiegend" gelten. Bei den Community-Images waren es 68 Prozent der Abbilder. Am besten haben die offiziellen Images abgeschnitten, die das Unternehmen Docker selbst auf Schwachstellen kontrolliert. Aber auch diese enthielten noch zu 46 Prozent eine schwerwiegende Lücke.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Docker: Container-Images mit Trivy auf Sicherheitslücken durchleuchten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.