Studie: 80% der zertifizierten Docker-Images haben schwere Sicherheitslücken

Eine detaillierte Untersuchung von 2500 auf Docker Hub bereit gestellten Docker-Images föderte teils haarsträubende Sicherheitsmängel zu Tage. Am schlimmsten erwiesen sich ausgerechnet die zertifizierten Images. Da enthielten 82 Prozent mindestens eine schwere oder sogar kritische Sicherheitslücke, ergab eine Studie norwegischer Wissenschaftler.

Am meisten exponiert sind die sogenannten Community Images; 8 von 10 Einträge in der Top 10 der verwundbarsten Images gehören dieser Kategorie an. Nur in 18% aller Images fanden die Forscher keine Sicherheitsprobleme.

Die Wissenschaflter verwendeten für ihre Studie den auf Container spezialisierten Open-Source-Scanner Anchore Engine. Sie ergänzten dessen Ergebnisse durch eigene Skripte zu Analyse von Docker-Images, die sie auf Github der Allgemeinheit zur Verfügung stellen. Die meisten Sicherheitsprobleme fanden sie in Python-Paketen und der Javascript-Lodash-Bibliothek.

Qualität in Stufen

Docker ist eine Freie Software zur Isolierung von Anwendungen in einem virtuellen Container. Auf dem Onlinedienst Docker Hub residieren rund 3,5 Millionen Docker-Images; er stellt damit das größte Repository für Container dar. Diese sind unterteilt in vier Kategorien: Community, Verified, Certified und Official. Comunity-Images kann jede(r) bereitstellen; bei Verified muss sich der Urheber beim Docker-Technology-Partner-Programm registriert haben.

Certified bedeutet, dass die Images bestimmte Best Practices berücksichtigen und automatisierten Baseline-Tests unterzogen werden. Nur beim Status Official untersucht ein Team von Docker die Images explizit auf Sicherheitsprobleme. Das zahlt sich offenbar aus, denn in dieser Kategorie fanden die Forscher die wenigsten schweren Lücken. Aber auch da waren es immerhin noch 46 Prozent. Das spricht sehr dafür, dass sicherheitsbewusste Docker-Nutzer ihre Installationen nachträglich härten oder zumindest mit strikten Zugangsbeschränkungen abschotten.

(ju)