Os incidentes de segurança de contêineres estão se tornando mais comuns, com quase um em cada quatro entrevistados em uma nova pesquisa da BellSoft afirmando ter passado por um incidente de segurança. A pesquisa concluiu que questões sobre práticas de segurança permanecem sem solução.
De acordo com a pesquisa realizada pelo provedor OpenJDK BellSoft, 62% dos desenvolvedores participantes relataram que erros humanos foram os maiores contribuintes para erros de segurança de contêineres.
Entre as principais conclusões do relatório, escreveu BellSoft, estão:
Os desenvolvedores classificaram shells (54%) e gerenciadores de pacotes (39%) como as ferramentas mais essenciais dentro do contêiner base. Os gerenciadores de pacotes apresentam uma preocupação de segurança particularmente crítica, pois expandem a superfície de ataque tanto diretamente quanto permitindo a instalação em tempo de execução de componentes adicionais desnecessários. Combinado com outras ferramentas não essenciais, isso cria uma exposição substancial à vulnerabilidade em ambientes de produção. Uma abordagem mais prática é usar imagens de tempo de execução mínimas e reforçadas, combinadas com “compilações de depuração” mais completas durante o desenvolvimento, permitindo segurança e diagnóstico sem comprometimento.
55% relataram usar distribuições Linux de uso geral (sistemas baseados em Ubuntu/Debian ou Pink Hat) com centenas de pacotes que seus aplicativos nunca usam. Cada um representa vulnerabilidades potenciais que exigem patches de segurança. Quando surge uma vulnerabilidade, as equipes de segurança devem avaliar o impacto e coordenar milhares de instâncias, independentemente de o aplicativo usar ou não o pacote afetado.
Registros confiáveis (45%) e verificação de vulnerabilidades (43%) foram os mecanismos de segurança mais comumente empregados. Estas representam abordagens básicas à segurança de contentores, através das quais as organizações respondem constantemente às vulnerabilidades recentemente descobertas, em vez de construir bases para minimizar a exposição.
Embora 31% tenham afirmado que atualizam imagens de contêiner a cada lançamento e 26% o fazem quando surgem vulnerabilidades críticas, 33% atualizam mensalmente, raramente ou apenas algumas vezes por ano, criando um risco substancial para aplicativos e organizações.
Apesar disso, 48% dos desenvolvedores entrevistados observaram que uma boa solução poderia ser o uso de imagens de base pré-reforçadas e com foco na segurança, de acordo com o. relatório, pois essas imagens mantidas pelo fornecedor podem reduzir a exposição a vulnerabilidades, a pressão sobre as operações, os custos da nuvem e o risco de erros humanos.
“Em todas as seções da pesquisa, uma mensagem se repete consistentemente: as equipes querem segurança, eficiência e simplicidade, mas suas estratégias e ferramentas atuais tornam isso difícil de alcançar”, disse Alex Belokrylov, CEO da BellSoft, em comunicado no relatório. “Ao adotar imagens reforçadas, grande parte da responsabilidade contínua de segurança e manutenção passa para o fornecedor da imagem, reduzindo a carga operacional e o custo complete de propriedade, ao mesmo tempo que permite ambientes de contêiner mais estáveis, de baixa manutenção e altamente seguros”