报告基于2,000,000个运行于生产环境中的容器收集的真实数据，从多个角度，分析了这一年来，容器生态系统所发生的变化，样本数量几乎是去年（90,000）的22倍多。

相比较2018年的报告，今年的这个报告有以下几个特点：

（1）从题目上看，2018年之前的报告都是Docker年度使用报告，今年将Docker改为了Container，这也体现了在生态系统中容器运行时的广度有所扩大；

（2）样本数较去年增加了22倍多，所有的统计数据来源于线上客户真实的业务数据，这样的数据增长，说明在容器环境中的安全需求与安全建设发生了飞速的发展；

（3）报告中首次增加容器环境安全相关的现状数据。

下面本文将着重解读2019年容器环境的安全现状。

rkt、lxc、mesos等容器运行时已经几乎很少见，docker和containerd基本成为容器运行时的主流实现。

在编排工具上，毫无悬念的Kubernetes占据了榜首，加上OpenShift以及Rancher，其占有比例达到了89%，Swarm从2018年的11%降到了5%。

在用户的生产环境中，有40%的镜像来源于公开的镜像仓库。

镜像的漏洞问题依然十分突出，连续5天对应用到生产环境中的镜像进行漏洞扫描，通过率仅为48%。

CIS等安全配置规范，在生产环境中落实情况并不是很理想，主要体现在禁用了seccomp、没有设置SELinux、AppArmor、以root/特权模式运行等问题。

通过Falco的监控，运行时安全威胁Top10主要体现在了写/etc目录、写/root目录、创建特权容器、更改线程命名空间、创建挂载敏感目录的容器、获取sudo权限、尝试在二进制目录下写文件、异常运行shell、系统程序处理网络行为、shell登入容器。

Kubernetes的node ready、CPU利用率、Memory利用率等成为主要的运维告警项。

总体来说，报告从多个角度展示了容器生态，尤其是容器环境的安全现状。对比前两年的报告，一方面可以看出，容器在计算环境中扮演了越来越重要的角色，另一方面，容器生态的安全问题，也是越来越多的引起容器使用者的关注。

内容编辑：星云实验室  江国龙

责任编辑：肖晴

推荐文章++++

* 危险！仅用一束激光就能远程控制语音助手，打开你的家门

* 谷歌发布11月Android安全补丁：共修复38处漏洞

* 警方破获超大DDoS黑产案，20万个僵尸网络运营商被抓

* 冒充安恒信息对看雪论坛的一次定向钓鱼攻击

* 黑客利用Windows BlueKeep挖矿，RDP攻击再次来袭

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：[email protected]

戳“阅读原文”一起来充电吧！