免费开放！阿里云上线容器公共镜像信息查询平台

公共容器镜像，指可以从Docker Hub、quay.io 等公共容器镜像仓库获取的镜像，包括攻击者在内的任何人都可以创建公共镜像仓库，并上传恶意镜像，因此公共镜像存在很高的风险系数。

《Sysdig 2022 Cloud‐Native Security and Usage Report》报告显示，目前全球高达61%的镜像来自于公共镜像仓库，相比上一年上涨15%。

公共镜像

不得不关注的供应链安全风险

01

历史公共镜像存在安全问题的比例更高

公共镜像提供者不一定会及时修复存在的安全问题，尤其是一部分版本较老的历史镜像，因为各种各样的业务需求导致不得不保留其发布时的状态，因此历史镜像存在高危漏洞的可能性更高，使用时要慎重。

据阿里云云安全中心对近一年新增的130万+公共镜像追踪分析发现，新增镜像存在漏洞的比例约为5.6%；而据Prevasio公司2020年发布的报告显示，Docker Hub 400万镜像中51%存在漏洞，如此高比例与400万镜像中大部分为历史镜像有绝对关系。

02

公共镜像的提供者不一定可信

存在被植入后门木马、挖矿程序等各种风险。即使是软件官方提供的镜像，也存在构建过程中被攻击注入后门的可能性。

据阿里云云安全中心跟踪发现，近一年新增的130万+公共镜像中，恶意镜像约8000+，恶意镜像拉取总量超千万次。

03

公共镜像可能存在密钥密码等敏感信息泄露问题

这类信息虽然不会对使用者造成直接影响，但是可能会被用于攻击镜像提供者所在的平台，一旦平台被攻破，也有可能在软件构建处植入后门从而影响下游。

三大检测引擎+数万漏洞库加持

确保检测结果可信

检测结果全面，助于安全事件快速应急

联动云沙箱，恶意进程行为动态分析

多场景使用

满足企业和个人不同需求

场景1 公共镜像安全检测

场景2 恶意镜像快速定位

典型应用案例

攻击者如何利用公共仓库作恶

据阿里云云安全中心观察，攻击者会利用公共镜像仓库伪装成kubernetes网络组件或系统镜像执行挖矿程序。

近期两个比较典型的案例：

• 11月2日某攻击者在dockerhub创建了镜像仓alpineyyf/alpinc和alpineyyf/aplinc，并上传恶意镜像，阿里云镜像信息查询平台当天识别并追踪了该恶意镜像。

• 11月3日攻击者上传恶意镜像至第三个镜像仓alpineyyf/apline，当天17点云安全中心检测到云上某用户的自建kubernetes集群被攻击者利用启动了该恶意镜像。攻击者将pod命名为kube-flannels-******，试图伪装成kubernetes网络组件flannel。阿里云通过云安全中心第一时间向用户发送了告警通知。

• 11月4日攻击者上传了挖矿镜像alpineyyf/aplinr:latest

• 11月9日攻击者上传了恶意镜像alpineyyf/aplins:latest，该镜像下载量已达到50K+以上。阿里云镜像信息查询平台对该恶意镜像成功捕获。

11到12月，另一攻击者在Docker Hub注册多个账户并上传带挖矿程序的恶意镜像，在命名上伪装成常见系统和软件名称，如下

阿里云镜像信息查询平台对上述恶意镜像成功捕获。

如果您有查询公共镜像的需求，点击阅读原文直达平台。

  阿里云安全  

国际领先的云安全解决方案提供方，保护全国 40% 的网站，每天抵御 60 亿次攻击。

2020 年，国内唯一云厂商整体安全能力获国际三大机构（Gartner/Forrester/IDC）认可，以安全能力和市场份额的绝对优势占据领导者地位。

阿里云最早提出并定义云原生安全，持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力，和基础设施深度融合推动安全服务化，支持弹性、动态、复杂的行业场景，获得包括政府、金融、互联网等各行业用户认可。

作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者，阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境，为用户提供全球最高等级的安全可信云。