容器创业公司 Sysdig 发布了一份《2021 年容器安全性和使用情况报告》。这是 Sysdig 发布的第四份容器年度使用报告,基于 200 多万个部署在企业生产环境中的容器使用情况,以及对 GitHub、Docker Hub 和云原生计算基金会等公共数据源的分析。报告指出,尽管如今安全措施的集成度比往年更好,但大家仍有许多工作要做。
调查显示,目前已有 74% 的组织会在构建过程中扫描容器镜像;这一举措表明,容器安全性正在左移(在开发生命周期的早期阶段开始考虑重要影响)。这是一个好兆头,因为在构建阶段的扫描,将有助于团队在将镜像投入生产之前解决掉潜在的安全风险。
不过报告也指出,尽管很多团队已经有意识进行漏洞扫描,但大部分镜像扫描的限制仍然过于宽松,仍有 58% 的镜像配置为以 root 权限运行。同时,调查数据还显示,有 49% 的容器寿命不到 5 分钟,甚至有 21% 的容器寿命要少于 10 秒。种种因素给安全和监控带来了不少的挑战。
另一方面,从部署的容器运行时开始看,Docker 去年的增长率为 79%,但今年下降到了 50%。而 containerd 和 CRI-O 则都实现了 200% 的增长,分别达到了 17% 和 33% 的占比。出现此等现象的原因或在于,一些平台默认了其他项目(例如 OpenShift 已切换到 CRI-O)。
而在容器编排平台方面,Kubernetes 仍不出所料地领跑榜单,占据了 75% 的份额。OpenShift 的受欢迎程度也有所提升,从 9% 增长至了 15%。
组织也正在积极地转向开源解决方案以解决安全问题。在此种趋势下,Falco 获得了迅猛增长,吸引了超过 2000 万名 Docker Hub,采用率急剧增长了 300%。
Sysdig 总结称,该报告主要强调了容器生态系统中发生的重大变化,以及企业需要采取的应对措施,其建议:
为了避免运行时风险,云团队必须立即采取行动,将安全性集成到 DevOps 中。
实时可见性可为短寿命的容器提供详细的审核和取证记录,这对于确保操作安全至关重要。
组织应该对 Kubernetes 本地工具进行投资,以简化大规模运营。
随着 Prometheus 扩展其作为云原生应用程序度量标准的领先地位,用户必须学习如何可靠地大规模利用。
详情可查看:https://sysdig.com/blog/sysdig-2021-container-security-usage-report/
本文地址:https://www.oschina.net/news/126713/2021-container-security-usage-report
