Четвертая часть [1,2 ,3] по мыслям о сканирование образов (images) контейнеров.
Сегодня предлагаю посмотреть очень детальное и внушительное исследование от стороннего исследователя. Он написал серию статей по данной теме:
1) Testing docker CVE scanners. Part 1: false negatives and what they mean for your security
2) Testing Docker CVE Scanners. Part 2: How good is package detection?
3) Testing docker CVE scanners. Part 2.5 — Exploiting CVE scanners
4) Testing Docker CVE scanners. Part 3: Test it yourself / Conclusions
Для повторения экспериментов автор сделал доступным репозитарий со своими скриптами и данными.
Полностью согласен с выводами автора. Приятно видеть, что я не одинок в своих оценках и выводах.
Сегодня предлагаю посмотреть очень детальное и внушительное исследование от стороннего исследователя. Он написал серию статей по данной теме:
1) Testing docker CVE scanners. Part 1: false negatives and what they mean for your security
2) Testing Docker CVE Scanners. Part 2: How good is package detection?
3) Testing docker CVE scanners. Part 2.5 — Exploiting CVE scanners
4) Testing Docker CVE scanners. Part 3: Test it yourself / Conclusions
Для повторения экспериментов автор сделал доступным репозитарий со своими скриптами и данными.
Полностью согласен с выводами автора. Приятно видеть, что я не одинок в своих оценках и выводах.