原文：Containers Creating Major DevSecOps Challenge - Container Journal

TL;DR

出现了新的对容器攻击方式
大量出现加密货币劫持攻击，但是不具备很大的破坏性
镜像相关的业务和安全需要找到一种平衡
需要一种新的镜像保护方式

”与此同时，加密容器的使用以及其他有望使容器更加安全的新工具应该会增加。面临的挑战是找出一种合适的方式来应用它们。“

译文

现在对容器的攻击出现了新的方式，会对云原生应用的部署速度有很大的影响。相关IT企业在做数字化转型时，都渴望将微服务应用程序迁移到云原生上。但是，当越来越多的核心应用完成云化改造，就导致容器安全问题更加重要，解决起来就会更加棘手。

幸好，今天大多数涉及容器安全漏洞的案例，通常都是加密货币劫持(cryptojacking)这类的小型攻击。根据Aqua Security最近发布的一份报告，其发现的95%的容器映像都被设计成劫持资源，唯一的目的就是为加密货币挖矿。加密货币劫持可以被认为相当于一种无受害人的IT犯罪，因为云服务提供商的丰富计算资源被用于非法目的。

但是，Aqua Security的首席数据分析师Asaf Morag指出，对于一个没有很大危害且没有破坏性的容器而言，这只是向湖中扔了一个小石头。

各种单位组织都在将责任向研发端推，以防止再起开发的应用中出现这个问题。面临的挑战是确保容器的安全需要一种生命周期管理方法，而这种方法的实施既繁琐又具有维护的挑战性。

理论上，组织要求开发人员使用静态检查工具扫描他们的代码是否存在漏洞。然而，这只是安全流程的一个开始。然后，DevOps团队还需要扫描容器运行时和它们运行的主机是否存在漏洞。虽然这似乎与如何保护单体应用的安全没有太大区别，但容器的更新速度通常要比对单体应用的大几个数量级。每一个容器和它们运行的平台在每次更新时都需要进行扫描。

更具挑战性的是，在现有的容器应用中随时可能发现新的漏洞，这意味着DevOps团队可能会发现重新扫描那些曾经被认为是安全的长期运行的容器和平台。

IBM研究员、云原生计算基金会(CNCF)安全兴趣小组技术负责人Brandon Lum表示，现在需要转换一下安全思路。因为容器是可移动的，需要将过程敏捷化，这就需要适配大量的测试用基础设施。

开发人员和安全团队之间剑拔弩张并不是什么新鲜事，但容器显然正在激化这个问题。CNCF SIG刚刚发布的一份新的容器安全白皮书甚至指出，“期望开发和运维人员成为安全专家是不合常理的”。这也就不难理解为什么这么多组织在不断权衡实施容器安全的成本和实际风险了。事实上，CNCF白皮书指出：”随着现代方法论的快速出现，以及IT技术和业务需求的更好结合，安全必须具有适应性、使用合理和透明的。”

“使用合理”是由一个组织愿意承担的风险程度决定的。事实上，一些组织认为，在有潜在漏洞的容器真正有可能被破坏之前，早就会将其撕毁并更换，这并不是闻所未闻的事情。这个假设是应用部署和更新的速度，以推进业务目标，胜过容器安全问题。如果不是这样，就会有数以百万计的容器已经部署在生产环境中，尽管已知有漏洞。

当然，安全专业人员正在试图通过策略和制度的结合，尽量减少生产环境中可能存在的潜在容器漏洞的数量。可以附加政策，如果容器不符合特定要求，就阻止其运行。问题是，当逼不得已时，大多数组织会决定业务需要大于安全问题。

这个规则的一个例外是政府机构，比如美国国家安全局（NSA）根据NSA的DevSecOps负责人Emily Fox的说法，昔日不遵守最佳DevSecOps实践的开发人员将不被允许为大多数组织工作。

在AI和自动化的帮助下，也许有一天让单位组织更加容易的实现容器的安全生命周期管理，但就目前大多数组织中DevSecOps的现状来看，2025年能实现都表现得过于乐观。

与此同时，加密容器的使用以及其他有望使容器更加安全的新工具应该会增加。面临的挑战是找出一种合适的方式来应用它们。