作為一個具備多樣化功能的開發(fā)平臺，Docker Hub為Docker 鏡像的開發(fā)、協(xié)作和分發(fā)開辟了許多可能性。目前，Docker Hub已經(jīng)成為全球開發(fā)者首選的頭號容器平臺，托管著超過1500萬個存儲庫。然而，這一平臺也面臨著諸多的安全挑戰(zhàn)。根據(jù)JFrog安全研究表明，Docker Hub遭受協(xié)同攻擊，被植入數(shù)百萬惡意存儲庫。

無處不在的安全威脅

當前，使用多種開發(fā)語言已經(jīng)成為行業(yè)主流模式。據(jù)JFrog中國技術(shù)總監(jiān)王青介紹，以前主要靠C和C++語言一種語言就能搞定的時代已經(jīng)過去，大多數(shù)企業(yè)會包含多種開發(fā)語言，并且容器化已經(jīng)成為主流。

在此背景下，企業(yè)正在受到更多的安全挑戰(zhàn)。JFrog安全研究表明，通過持續(xù)掃描所有主要公共存儲庫，JFrog在NPM、PyPI和NuGet注冊表中發(fā)現(xiàn)數(shù)個惡意軟件包。在Docker Hub公共存儲庫中，有近 20%（近300萬個存儲庫！）托管過惡意內(nèi)容，包括通過自動生成的賬戶上傳的用于推廣盜版內(nèi)容的垃圾郵件，以及惡意軟件和釣魚網(wǎng)站等極度惡意的實體。

王青表示，JFrog在Docker Hub倉庫里發(fā)現(xiàn)了460萬個沒有容器數(shù)據(jù)的Docker Hub 存儲庫（又名“無鏡像”）。通過深入檢查后發(fā)現(xiàn)，這些被上傳的無鏡像存儲庫，絕大多數(shù)都是帶著惡意目的——它們的概述頁面試圖欺騙用戶訪問釣魚網(wǎng)站或托管著危險惡意軟件的網(wǎng)站。比如，存儲庫在描述中包含了幾個鏈接，引導用戶訪問一個釣魚網(wǎng)站。該網(wǎng)站欺騙毫無戒心的訪問者，承諾為他們購買處方藥，但隨后卻竊取他們的信用卡信息。

值得慶幸的是，越來越多的企業(yè)開始關(guān)注多開發(fā)工具帶來的安全性問題。調(diào)研數(shù)據(jù)顯示，92%的專業(yè)人士表示他們的企業(yè)至少有一個解決方案監(jiān)測惡意的開源包。89%的受訪者表示他們已經(jīng)采用了OpenSSF SLSA的框架。

當然，僅有42%的開發(fā)人員表示最好在代碼編寫期間執(zhí)行安全掃描，相對比例并不是非常高，因此安全左移還有很大的發(fā)展空間。

王青表示，安全左移不僅落實到開發(fā)階段，要求開發(fā)者每天工作時候都要進行安全掃描。實際上，JFrog已經(jīng)實現(xiàn)了這樣的功能，在IDE開發(fā)工具中嵌入了掃描工具。

面對惡意攻擊的應對之道

面對Docker Hub遭受的協(xié)同攻擊，JFrog提供了JFrog Curation ，即“隔離倉庫”的概念。當開發(fā)者在嘗試下載惡意鏡像時，Curation會快速地進入Docker Hub探測鏡像掃描結(jié)果，立刻生成鏡像掃描的漏洞報告，此時安全人員在Curation里設置隔離策略，就能從根本上保證安全的效果。

“惡意包會立刻被阻斷在公司內(nèi)網(wǎng)之外，程序員無法下載惡意包進入到組織內(nèi)部。”王青告訴記者，如果不小心已經(jīng)通過其他方式進入到公司內(nèi)部，用戶還可以開啟JFrog的安全掃描，即JFrog Xray，立刻對有漏洞的鏡像進行診斷。JFrog Xray掃描 “基于上下文的風險分析掃描”，能夠真實地判定漏洞雖然被引入，但是不是真實被利用。只有被利用才進行阻斷；如果是不被利用，不會影響組織內(nèi)部的安全，就可以放行這個鏡像的使用。

王青表示，JFrog安全團隊調(diào)研了212個CVE樣本，將85%的“嚴重”CVE和73% 的“高危”CVE下調(diào)了評級，這就意味著研發(fā)團隊能夠避免付出額外精力關(guān)注漏洞分數(shù)虛高的漏洞。與此同時，JFrog能夠?qū)β┒催M行上下文的風險分析，根據(jù)CVE對應用產(chǎn)生調(diào)研，判斷是不是漏洞被調(diào)用，從而確認某個漏洞的評級可以下降。有了這樣的“黑科技”技術(shù)之后，就可以將大部分漏洞不合理的評分進行下降，這意味著可以為開發(fā)者省下更多寶貴的開發(fā)時間，進行提升商業(yè)價值的任務活動。

據(jù)介紹，JFrog在Docker Hub里分析了最受歡迎的100個鏡像，比如Tomcat、 Ubuntu、GDK這樣的下載量最高的鏡像，里面有很多CVSS評分的漏洞。JFrog的研究團隊發(fā)現(xiàn)了一個重大的數(shù)據(jù)，74%的漏洞是不可被利用的。這74%經(jīng)過JFrog掃描之后，顯示這些漏洞可以被忽略，從而讓研發(fā)從這些修復漏洞的工作中解放出來。

面對用戶擔心的安全掃描工具費用高、管理難等問題，JFrog通過為用戶提供統(tǒng)一的管理平臺，來減少工具的安全掃描維護和采購的成本。王青表示，作為JFrog的一大產(chǎn)品特點， JFrog Xray和制品庫統(tǒng)一綁定，開發(fā)者用了JFrog的制品庫，就會自動獲得安全掃描能力，不需要額外購買JFrog Xray。所以，當建設好制品庫之后，研發(fā)團隊自動就獲得了安全掃描能力。

“JFrog還有一個很大的優(yōu)勢，就是不限制用戶數(shù)。企業(yè)一千個人使用跟一萬個人使用，費用是一樣的。通過這樣的方式，我們切實地幫助企業(yè)在安全掃描、制品管理、供應鏈管理上提供高性價比的統(tǒng)一解決方案。”王青如是說。

談到軟件供應鏈參差不齊的問題，王青認為：

一是未來軟件供應鏈的發(fā)展趨勢一定是集中化，不會再像每種語言有一個單獨的制品庫做單獨的掃描，甚至每種語言要采購單獨的掃描工具去掃描。它一定是集中式的、全語言的掃描。

二是掃描一定要高效，速度要快。很多互聯(lián)網(wǎng)企業(yè)在軟件研發(fā)中一天都會發(fā)布多次，甚至一天能夠有上十次的版本發(fā)布，如果漏洞掃描要花一個小時才能掃完，研發(fā)團隊顯然無法接受。

三是在軟件供應鏈評級上，要有一定的標準，企業(yè)一定要去適配SLSA，要去適配安全等級，以此來保障企業(yè)軟件發(fā)布處于領(lǐng)先地位。

in China， for China

作為亞太區(qū)增長最快的市場，JFrog提出了 “in China， for China”的中國戰(zhàn)略。

JFrog大中華和日本地區(qū)總經(jīng)理董任遠告訴記者，過去幾年，中國市場越來越多的基礎架構(gòu)類產(chǎn)品已經(jīng)支持了國產(chǎn)化，其中包括了芯片、服務器、數(shù)據(jù)庫以及中間件。對于JFrog來說，在中國的戰(zhàn)略就是以更合適的解決方案適配這些產(chǎn)品。過去一年，JFrog已經(jīng)完成了在中國全線產(chǎn)品針對于國產(chǎn)信創(chuàng)產(chǎn)品的適配，并且已經(jīng)有很多客戶直接將JFrog應用到其信創(chuàng)環(huán)境當中。

除此之外，針對中國市場特有的行業(yè)，JFrog提供了一些產(chǎn)品的優(yōu)化以及定制化的支持。例如，針對中國汽車行業(yè)高速地發(fā)展，JFrog針對汽車行業(yè)提出了一些新的解決方案，尤其是在制品庫以及在安全領(lǐng)域上，為了更好地滿足中國企業(yè)的高速發(fā)展以及企業(yè)出海需求，JFrog都提供定制化的支持。

董任遠表示，針對中國市場的客戶需求，JFrog持續(xù)進行產(chǎn)品優(yōu)化，無論客戶用什么樣的芯片，用什么樣的操作系統(tǒng)，在采用JFrog產(chǎn)品后都可以滿足最大化的性能以及效率。