作為一個具備多樣化功能的開發(fā)平臺，Docker Hub為Docker 鏡像的開發(fā)、協(xié)作和分發(fā)開辟了許多可能性。目前，Docker Hub已經(jīng)成為全球開發(fā)者首選的頭號容器平臺，托管著超過1500萬個存儲庫。然而，這一平臺也面臨著諸多的安全挑戰(zhàn)。根據(jù)JFrog安全研究表明，Docker Hub遭受協(xié)同攻擊，被植入數(shù)百萬惡意存儲庫。

無處不在的安全威脅

當(dāng)前，使用多種開發(fā)語言已經(jīng)成為行業(yè)主流模式。據(jù)JFrog中國技術(shù)總監(jiān)王青介紹，以前主要靠C和C++語言一種語言就能搞定的時代已經(jīng)過去，大多數(shù)企業(yè)會包含多種開發(fā)語言，并且容器化已經(jīng)成為主流。

在此背景下，企業(yè)正在受到更多的安全挑戰(zhàn)。JFrog安全研究表明，通過持續(xù)掃描所有主要公共存儲庫，JFrog在NPM、PyPI和NuGet注冊表中發(fā)現(xiàn)數(shù)個惡意軟件包。在Docker Hub公共存儲庫中，有近 20%（近300萬個存儲庫?。┩泄苓^惡意內(nèi)容，包括通過自動生成的賬戶上傳的用于推廣盜版內(nèi)容的垃圾郵件，以及惡意軟件和釣魚網(wǎng)站等極度惡意的實(shí)體。

王青表示，JFrog在Docker Hub倉庫里發(fā)現(xiàn)了460萬個沒有容器數(shù)據(jù)的Docker Hub 存儲庫（又名“無鏡像”）。通過深入檢查后發(fā)現(xiàn)，這些被上傳的無鏡像存儲庫，絕大多數(shù)都是帶著惡意目的——它們的概述頁面試圖欺騙用戶訪問釣魚網(wǎng)站或托管著危險惡意軟件的網(wǎng)站。比如，存儲庫在描述中包含了幾個鏈接，引導(dǎo)用戶訪問一個釣魚網(wǎng)站。該網(wǎng)站欺騙毫無戒心的訪問者，承諾為他們購買處方藥，但隨后卻竊取他們的信用卡信息。

值得慶幸的是，越來越多的企業(yè)開始關(guān)注多開發(fā)工具帶來的安全性問題。調(diào)研數(shù)據(jù)顯示，92%的專業(yè)人士表示他們的企業(yè)至少有一個解決方案監(jiān)測惡意的開源包。89%的受訪者表示他們已經(jīng)采用了OpenSSF SLSA的框架。

當(dāng)然，僅有42%的開發(fā)人員表示最好在代碼編寫期間執(zhí)行安全掃描，相對比例并不是非常高，因此安全左移還有很大的發(fā)展空間。

王青表示，安全左移不僅落實(shí)到開發(fā)階段，要求開發(fā)者每天工作時候都要進(jìn)行安全掃描。實(shí)際上，JFrog已經(jīng)實(shí)現(xiàn)了這樣的功能，在IDE開發(fā)工具中嵌入了掃描工具。

面對惡意攻擊的應(yīng)對之道

面對Docker Hub遭受的協(xié)同攻擊，JFrog提供了JFrog Curation ，即“隔離倉庫”的概念。當(dāng)開發(fā)者在嘗試下載惡意鏡像時，Curation會快速地進(jìn)入Docker Hub探測鏡像掃描結(jié)果，立刻生成鏡像掃描的漏洞報告，此時安全人員在Curation里設(shè)置隔離策略，就能從根本上保證安全的效果。

“惡意包會立刻被阻斷在公司內(nèi)網(wǎng)之外，程序員無法下載惡意包進(jìn)入到組織內(nèi)部。”王青告訴記者，如果不小心已經(jīng)通過其他方式進(jìn)入到公司內(nèi)部，用戶還可以開啟JFrog的安全掃描，即JFrog Xray，立刻對有漏洞的鏡像進(jìn)行診斷。JFrog Xray掃描 “基于上下文的風(fēng)險分析掃描”，能夠真實(shí)地判定漏洞雖然被引入，但是不是真實(shí)被利用。只有被利用才進(jìn)行阻斷；如果是不被利用，不會影響組織內(nèi)部的安全，就可以放行這個鏡像的使用。

王青表示，JFrog安全團(tuán)隊調(diào)研了212個CVE樣本，將85%的“嚴(yán)重”CVE和73% 的“高危”CVE下調(diào)了評級，這就意味著研發(fā)團(tuán)隊能夠避免付出額外精力關(guān)注漏洞分?jǐn)?shù)虛高的漏洞。與此同時，JFrog能夠?qū)β┒催M(jìn)行上下文的風(fēng)險分析，根據(jù)CVE對應(yīng)用產(chǎn)生調(diào)研，判斷是不是漏洞被調(diào)用，從而確認(rèn)某個漏洞的評級可以下降。有了這樣的“黑科技”技術(shù)之后，就可以將大部分漏洞不合理的評分進(jìn)行下降，這意味著可以為開發(fā)者省下更多寶貴的開發(fā)時間，進(jìn)行提升商業(yè)價值的任務(wù)活動。

據(jù)介紹，JFrog在Docker Hub里分析了最受歡迎的100個鏡像，比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像，里面有很多CVSS評分的漏洞。JFrog的研究團(tuán)隊發(fā)現(xiàn)了一個重大的數(shù)據(jù)，74%的漏洞是不可被利用的。這74%經(jīng)過JFrog掃描之后，顯示這些漏洞可以被忽略，從而讓研發(fā)從這些修復(fù)漏洞的工作中解放出來。

面對用戶擔(dān)心的安全掃描工具費(fèi)用高、管理難等問題，JFrog通過為用戶提供統(tǒng)一的管理平臺，來減少工具的安全掃描維護(hù)和采購的成本。王青表示，作為JFrog的一大產(chǎn)品特點(diǎn)， JFrog Xray和制品庫統(tǒng)一綁定，開發(fā)者用了JFrog的制品庫，就會自動獲得安全掃描能力，不需要額外購買JFrog Xray。所以，當(dāng)建設(shè)好制品庫之后，研發(fā)團(tuán)隊自動就獲得了安全掃描能力。

“JFrog還有一個很大的優(yōu)勢，就是不限制用戶數(shù)。企業(yè)一千個人使用跟一萬個人使用，費(fèi)用是一樣的。通過這樣的方式，我們切實(shí)地幫助企業(yè)在安全掃描、制品管理、供應(yīng)鏈管理上提供高性價比的統(tǒng)一解決方案。”王青如是說。

談到軟件供應(yīng)鏈參差不齊的問題，王青認(rèn)為：

一是未來軟件供應(yīng)鏈的發(fā)展趨勢一定是集中化，不會再像每種語言有一個單獨(dú)的制品庫做單獨(dú)的掃描，甚至每種語言要采購單獨(dú)的掃描工具去掃描。它一定是集中式的、全語言的掃描。

二是掃描一定要高效，速度要快。很多互聯(lián)網(wǎng)企業(yè)在軟件研發(fā)中一天都會發(fā)布多次，甚至一天能夠有上十次的版本發(fā)布，如果漏洞掃描要花一個小時才能掃完，研發(fā)團(tuán)隊顯然無法接受。

三是在軟件供應(yīng)鏈評級上，要有一定的標(biāo)準(zhǔn)，企業(yè)一定要去適配SLSA，要去適配安全等級，以此來保障企業(yè)軟件發(fā)布處于領(lǐng)先地位。

in China， for China

作為亞太區(qū)增長最快的市場，JFrog提出了 “in China， for China”的中國戰(zhàn)略。

JFrog大中華和日本地區(qū)總經(jīng)理董任遠(yuǎn)告訴記者，過去幾年，中國市場越來越多的基礎(chǔ)架構(gòu)類產(chǎn)品已經(jīng)支持了國產(chǎn)化，其中包括了芯片、服務(wù)器、數(shù)據(jù)庫以及中間件。對于JFrog來說，在中國的戰(zhàn)略就是以更合適的解決方案適配這些產(chǎn)品。過去一年，JFrog已經(jīng)完成了在中國全線產(chǎn)品針對于國產(chǎn)信創(chuàng)產(chǎn)品的適配，并且已經(jīng)有很多客戶直接將JFrog應(yīng)用到其信創(chuàng)環(huán)境當(dāng)中。

除此之外，針對中國市場特有的行業(yè)，JFrog提供了一些產(chǎn)品的優(yōu)化以及定制化的支持。例如，針對中國汽車行業(yè)高速地發(fā)展，JFrog針對汽車行業(yè)提出了一些新的解決方案，尤其是在制品庫以及在安全領(lǐng)域上，為了更好地滿足中國企業(yè)的高速發(fā)展以及企業(yè)出海需求，JFrog都提供定制化的支持。

董任遠(yuǎn)表示，針對中國市場的客戶需求，JFrog持續(xù)進(jìn)行產(chǎn)品優(yōu)化，無論客戶用什么樣的芯片，用什么樣的操作系統(tǒng)，在采用JFrog產(chǎn)品后都可以滿足最大化的性能以及效率。