Docker将删除开源组织的所有镜像

Sysdig的安全研究者近日发现Docker Hub中暗藏着超过1600个恶意镜像，可实施的攻击包括加密货币挖矿、嵌入后门/机密信息、DNS劫持和网站重定向等。问题持续恶化Sysdig表示，到2022年，从Docker Hub提取的所有镜像中有61%来自公共存储库，比2021年的统计数据增加了15%，因此用户面临的风险正在上升。

本文介绍了 12 个优化 Docker 镜像安全性的技巧。每个技巧都解释了底层的攻击载体，以及一个或多个缓解方法。这些技巧包括了避免泄露构建密钥、以非 root 用户身份运行，或如何确保使用最新的依赖和更新等。

本文介绍了 12 个优化 Docker 镜像安全性的技巧。每个技巧都解释了底层的攻击载体，以及一个或多个缓解方法。这些技巧包括了避免泄露构建密钥、以非 root 用户身份运行，或如何确保使用最新的依赖和更新等。

Palo Alto Network研究人员Aviv Sasson发现了30个恶意Docker映像，这些映像被下载了2000万次，涉及加密劫持操作。专家通过检查挖矿池来确定挖出到挖矿池帐户中的加密货币的数量。* Docker Hub 是世界上最大的。在开采Monero的大多数攻击中，威胁参与者使用XMRig矿工，但攻击者还滥用了Hildegard和Graboid矿工。研究人员注意到，某些图像针对不同的CPU体系结构或操作系统具有不同的标签，从而使攻击者可以为受害者的硬件选择最佳的加密矿工。

Sysdig公司的研究人员深入研究了这个问题，试图评估这个问题的严重性，报告发现的镜像使用了某种恶意代码或机制。遗憾的是，Docker Hub公共库的规模不允许其操作人员每天仔细检查所有上传的内容，因此许多恶意镜像并没有被报告。Sysdig还注意到，大多数威胁分子只上传几个恶意镜像，所以即使删除了有风险的镜像、封杀了上传者，也不会对这个平台的整体威胁状况有显著影响。

Docker是一个容器化平台，通过操作系统级别的虚拟化技术，实现软件的打包和容器化运行。借助Docker，开发人员能够将应用程序以容器的形式进行部署，但在此之前需要构建Docker镜像。只要熟悉相关Docker命令，开发人员就能轻松完成所有这些步骤，从而实现应用程序的容器化部署。本文将根据使用场景对 Docker 命令进行分类介绍。1 构建 Docker 镜像构建 Docker 镜像需要使用 Do

首先，对Docker架构以及基本安全特性进行介绍，分析了Docker面临的安全威胁。由于Docker拥有轻量化、高效率和易部署的特点，目前已被广泛应用于云计算和微服务架构中。本文对Docker安全相关的研究思路、方法和工具进行比较和分析，并指出未来可能的研究方向。此外，Iptables的限制范围有限，容器网络仍然容易受到数据链路层攻击，如ARP欺骗等。

镜像分析选择要分析的镜像为ubuntu的官方镜像，首先导出镜像，保存为ubuntu.tarsudo docker pull ubuntu. 上述链接简述了每一个字段的意义，如config包含了镜像生成容器时基础的执行参数，Cmd为容器入口点的默认参数 等。我们主要关注的是?Dockerfile 中几乎每条命令都会变成一个层，描述该命令对镜像所做的更改。在ubuntu镜像中，可以看到history列表实际上有两层， 但是其中一层的empty_layer?true，这代表着本次操作不改变文件系统镜像，不额外生成新的层，所以ubuntu镜像实际上只有一层。