在 DevSecOps 文章系列的 上一篇文章 中,我們討論了原始程式碼和建構工件中存在惡意軟體的可能性,以及團隊如何使用 MetaDefender 對於 Jenkins。在這篇文章中繼續以DevOps安全為主題,我將演示如何使用 MetaDefender 讓 Jenkins 檢測 Docker 映像中的惡意軟體和漏洞。
Container 基礎設施:供應鏈攻擊的範圍
微服務和容器已經取得了巨大的增長。由於其輕量級和快速部署的特性,容器技術在未來只會繼續擴展。但是,容器也經常容納過時和易受攻擊的軟體。不良行為者利用這個自動建構平臺來創建供應鏈攻擊活動,使目標組織及其相關方處於危險之中。
對 Docker Hub 上 400 萬張公共圖像的分析揭示了容器中看不見的風險。其中一半 (51%) 包含至少一個嚴重漏洞,13% 存在高嚴重性漏洞。超過 6,400 張圖像被認為是惡意的,因為它們包含加密貨幣礦工、惡意節點包管理員 (NPM) 包、駭客工具和惡意軟體。
在另一起事件中,攻擊者使用 Docker 映像進行加密挖掘。 2021年,有 5 張惡意圖片被拉取超過 120,000 次。該活動涉及功能變數名稱搶注——一種混淆技術,它使用拼寫錯誤或誤導性的標題,如“openjdk”和“golang”,代替Docker Hub中的官方“OpenJDK”和“Golang”圖像。其目的是誘使受害者觸發二進位 xmrig——一種可以被濫用來劫持組織資源的門羅幣加密礦工。
Docker 是最受歡迎的容器化平臺之一,有 700 萬用戶採用,2020 年創建了 700 萬個儲存庫和 2420 億次拉取。現在是組織認真考慮將保護容器基礎設施作為其網路安全最佳實踐之一的時候了。
克服 Docker 鏡像中的風險
避免意外拉取非法映像的最佳方法是採用零信任安全模型。必須將所有檔案視為潛在風險,並首先進行徹底掃描以檢測威脅。
一種方法是透過漏洞掃描工具,例如本機 Docker Scan 或類似的替代方案。但是,如果沒有此類解決方案,則可以將 Docker 映像另存為存檔檔,然後將其發送到分析器服務。
另一種簡單的方法是使用 MetaDefender 用於 Jenkins 外掛程式。
檢測惡意軟體和漏洞 MetaDefender 針對 Jenkins
作為第一步,我使用命令行建構步驟創建了一個建構掃描配置,如下所示。該生成將簽出 Docker 映射並將其另存為 TAR 檔。出於演示目的,我使用了包含EICAR檔的 Docker 映射。
接下來,我添加了一個建構步驟來掃描保存的圖像 MetaDefender Core,然後我開始建構。
一旦建構完成, MetaDefender 在 Docker 映像中檢測到惡意軟體。
我點擊了 URL 查看詳細結果 MetaDefender Core.
觀看此影片瞭解完整演示:
關於 OPSWAT MetaDefender 針對 Jenkins
OPSWAT MetaDefender 因為 Jenkins 説明 組織保護其軟體開發生命週期 (SDLC)。該外掛程式在向公眾發佈應用程式之前會檢查您的建構是否存在惡意軟體和機密,以防止對軟體供應鏈的攻擊。 MetaDefender 因為 Jenkins 由 MetaDefender 平臺(包括 Metascan、 Deep CDR、 主動式 DLP 和漏洞評估),用於掃描所有原始程式碼、工件和依賴項,以查找威脅 和漏洞 。詳細瞭解 MetaDefender 對於 Jenkins 和其他 OPSWAT 免費工具。
有關更多資訊, 請聯繫我們的網路安全專家。
