Контейнеры для анализа данных в среднем содержат более 300 уязвимостей

Команда исследователей из Университета Конкордия в Монреале сообщила о множестве уязвимостей, содержащихся в старых программных компонентах контейнеров для научного анализа. Согласно исследованию группы, регулярное обновление программных компонентов может устранить две трети уязвимостей в образах контейнеров, а минимизация количества библиотек уменьшит количество векторов для атак в некоторых случаях.

В ходе исследования контейнерных приложений, используемых в средах высокопроизводительных вычислений для обработки нейроизображений, было проанализировано 44 образа контейнеров. Количество обнаруженных уязвимостей варьировалось от 1,7 тыс. в одном изображении до 0 в нескольких других. В среднем образ контейнера содержит более 320 уязвимостей. Контейнеры на базе облегченных дистрибутивов Linux, таких как Alpine Linux, имеют гораздо меньше уязвимостей. Эксперты предполагают, что минимизация объема кода также способствует уменьшению количества проблем.

Хотя исследователи сосредоточились на контейнерных приложениях для анализа изображений мозга, проблема не является специфической для этой сферы или пакетов для анализа данных. В нейровизуализации, как и в других дисциплинах, обновления программного обеспечения обычно не приветствуются, потому что они могут повлиять на результаты анализа путем внесения числовых изменений в вычисления. С точки зрения IT-безопасности данный подход является опасным и может поставить под угрозу всю инфраструктуру обработки больших данных.

Исследовательская группа использовала скрипт для определения диспетчера пакетов для конкретного образа, а затем запустила функцию обновления диспетчера для установки самых последних версий программного обеспечения. Как исходный образ, так и обновленные версии были просканированы с помощью различных решений для поиска уязвимостей: Anchore, Vuls и Clair для образов Docker и инструментов Singularity Container Tools для образов Singularity.