江国龙-安全左移：基于DevSecOps实现容器镜像的安全运营.pdf

1、2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站安全左移：基于DevSecOps实现容器镜像的安全运营江国龙 腾讯安全云鼎实验室云原生安全专家，腾讯安全云鼎实验室高级研究员。主要负责云原生安全相关领域的技术研究与安全能力建设、腾讯云原生安全治理与运营，有着丰富的云原生安全技术和实践经验。01容器镜像的基本原理02镜像安全的需求和挑战03安全能力建设与运营实践04总结展望目录Content01容器镜像的基本原理2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站什么是容器镜像参考链接：https:/ DevOps 国际峰会 暨 BizDevOps

2、企业峰会 北京站容器镜像是怎么来的 docker buildcd path/to/dockerfiledocker build-t image-eg.docker commitdocker commit container-id repository:tagdockerfile exampledocker commit example2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站容器镜像是怎么存储的 docker pushdocker image tag nginx:latest registry-host:5000/myadmin/nginx:latestdock

3、er image push registry-host:5000/myadmin/nginx:latestRegistry仓库Project项目Repository镜像tag版本app_a:v1app_a:v1app_b:v1app_a:v1app_b:v1app_c:v1A镜像B镜像C镜像容器镜像的依赖关系仓库镜像管理的逻辑关系镜像A镜像A0镜像A00镜像A1镜像A10镜像A01镜像B镜像B0镜像B00镜像B1镜像B11镜像B10仓库镜像的构成示意基于镜像间的依赖关系（基础镜像），仓库内的镜像组成了“森林”存储结构02镜像安全的需求与挑战2023 DevOps 国际峰会 暨 BizDevOp

4、s 企业峰会 北京站镜像安全是云原架构下的重要安全风险来源Kubernetes攻击向量示例容器镜像是云原生架构中重要的风险点，是攻击者重要的攻击对象镜像安全漏洞隐私病毒木马篡改合规2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站当前容器镜像的安全现状不容乐观中危/低危13%严重/高危87%87%的镜像包含严重或者高危漏洞（Log4shell等）71%的镜像存在可以被修复的漏洞 15%的严重或高危漏洞，存在于正在运行的容器中参考链接：https:/ DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站容器镜像的风险分类 镜像供应链，镜像被恶意投毒利用挖矿、病

5、毒、木马 容器镜像自身的脆弱性漏洞、合规、隐私参考链接：https:/ DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站针对镜像供应链的攻击传播快，影响范围 恶意镜像主要以机器学习、编程语和基础应环境的基础镜像为主，这些镜像旦被下载，将在内泛使，威胁也将快速蔓延 据统计，编程语类的基础镜像下载数量最，通常4-5个就可以达到10w 左右的下载量2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站针对镜像的在野攻击例通过镜像投毒实现挖矿获利目标Image NameRepo DigestLast UpdatedSize(MB)Pull Countthanhcon

6、gnhe/haven80nogpu776229b1e37d2021-12-10T04:40:3037.11 MB48287884thanhcongnhe/thanhcongnhe5af66abb7a072021-02-10T00:56:08197.99 MB42750641doiquaroinha/doiquaroinha 94242f256c732021-07-17T07:32:51198 MB19539252danhthuagrab/danhthuagrab 51fe58d508822021-07-23T20:54:48198 MB17027852christophermitchellgn