研究发现，近一半生产容器存在漏洞

企业在生产中部署的容器越来越多，但却忽略了安全问题…

近日，Dimensional Research for Tripwire 公布了一项 IT 安全专业人士调查报告，数据显示几乎一半企业遇到容器安全问题。在接受调查的 269 名 IT 专业人员中，46％不知道容器是否安全；47％承认容器在生产中存在漏洞。 总体而言，60％的受访者表示企业在过去一年经历过容器安全事故。

早前，绿盟研究人员就拉取过 Docker Hub 上公开热门的前十页镜像，使用 Docker 镜像安全扫描工具 Clair 进行 CVE 扫描统计，最终发现只有 24% 的镜像不存在漏洞，67% 的镜像甚至包含高危漏洞。

舆论层面，不少人认为容器最终会取代虚拟机，但其与虚拟机相比，最大的劣势之一就是安全问题，这也几乎体现在所有与容器相关的文章中，但似乎并没有引起企业的足够重视。容器相当于彼此隔离的进程，可以直接访问重要的命名空间，比如主机名、网络和共享内存。当然，这一点可以通过控制 root 用户有所缓解，但始终是个问题。

本次研究发现，94％的受访者承认担心容器安全问题，但苦于团队成员的容器安全知识不足，对容器和映像的安全状态可见性有限，以及在部署之前无法评估容器镜像中的风险。

国内，关于新兴技术的大部分研发人才集中在中大型互联网公司，尤其是顶尖技术人才。虽然这些公司占据着各个领域的大部分市场份额，但这类型的企业毕竟是少数。中小型企业由于薪水、平台、知名度等各种原因难以招收到专业人才，这也让其在容器安全方面心有余而力不足。

如今，容器越来越多地被部署到企业以支持 DevOps。根据 Tripwire 研究，超过 30% 的受访者表示在生产环境中部署 10 到 100 个容器，19％的受访者表示生产环境中有 100 到 500 个容器。Tripwire 的产品经理和战略副总裁 Tim Erlin 表示，随着容器部署的增长和采用增加，企业正面临加快部署造成的压力。为了满足需求，团队只好暂时接受不保护容器带来的风险。

根据这项研究，大多数企业正在经历容器安全事故。正如 Computer Weekly 之前报道的那样，在生产中部署容器的企业也在部署漏洞扫描程序，以确保容器镜像不会受到损害。比如，使用流行的开源 工具 扫描容器镜像以查找已知漏洞。

除此之外，也有不少企业选择在云平台之上运行容器，这种情况下，一旦发生安全事故，企业和云供应商基本会采取责任共享机制，云供应商负责基础设施和管理云的安全性。客户负责保护在云中运行的所有内容，拥有对所有数据、应用程序和操作系统的完全所有权和控制权，因此这类企业同样需要注意容器安全问题。