根据NetRise的最新研究，平均每个软件容器的底层组件中存在604个已知漏洞，其中45%以上的漏洞存在2至10多年，7.9%的漏洞存在5年以上，而4.2%被认为是“关键”或“高”的漏洞还被归类为“武器化”，并在现实世界的攻击中被积极利用。

NetRise的首席执行官托马斯-佩斯（Thomas Pace）表示，“容器技术的采用正在迅速增长，主要是因为它轻量级且易于管理，并且容器改变了许多现代应用程序的设计、部署和管理方式，但它们似乎是软件供应链中最薄弱的网络安全环节。”

NetRise的研究强调了容器化软件的复杂性，分析的每个容器镜像平均包含389个软件组件。令人震惊的是，12.4%的组件缺乏基本元数据或清单，而清单提供了依赖关系和版本号等重要细节。这些“无清单”组件阻碍了传统扫描工具的使用，给组织留下了可视性缺口，可能会被黑客利用。此外，平均每个容器发现4.8个错误配置，常见问题包括146个权限过于宽松的目录和平均每个容器19.5个唯一用户名，从而增加了潜在漏洞的攻击面。进一步的分析表明，28%的容器的配置可能允许root访问，从而加大了敏感数据的风险。

NetRise采用先进的软件物料清单(SBOM)方法，从Docker Hub下载量最大的资源库中随机抽取 70 个容器映像生成详细的SBOM。这种方法使该公司能够识别每个容器中的所有软件组件，包括第三方库和依赖项。研究的风险评估既评估了已知漏洞（CVE），也评估了非CVE风险，如过时组件和配置错误。利用通用漏洞评分系统（CVSS）排名对漏洞进行了优先排序，重点关注在野外被积极利用的武器化漏洞。

尽管存在这些漏洞，但容器的使用率仍在继续上升。该研究引用的2022年Anchore调查发现，88%的企业计划在两年内扩大容器的采用，其中31%的企业预计将大幅增长。然而，安全问题正在影响部署战略。红帽公司2024年的一项研究显示，67%的企业因容器安全问题而推迟或放慢了应用部署。

该研究还强调了传统工具无法解决与容器化软件相关的各种风险。NetRise发现，27,261个受分析组件中有3,390个“无清单”，这在可视性方面造成了严重的差距，使合规和审计工作变得更加复杂。由于缺乏透明度，很难识别非CVE漏洞。

NetRise的研究强调了采用SBOM来提高容器化软件组件可见性的重要性。通过生成详细的SBOM清单，企业可以更好地管理与分析容器中16,557个已识别CVE相关的风险。研究还建议整合自动化工具，以检测过时的组件、错误配置以及可能尚未公开披露的潜在安全漏洞。此外，该研究还强调，40.9%的CVE被归类为严重或高度严重，这说明需要立即采取补救措施。高级威胁情报系统可以提供可操作的见解，帮助企业更有效地确定漏洞的优先级。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！