Ранее в двух моих любимых каналах Технологический Болт Генона и k8s (in)security были посты про отличные доклады про обфускацию контенеров. И вот наконец выложили свеженький доклад Enhancing Software Composition Analysis Resilience Against Container Image с KubeCon EU 2025. Последнее время тема обфускации и доверия инструментам сканирования всплывает все чаще и проблемы все еще актуальны:
- нет единого станадрата зависимостей SBOM (тут рекомендую еще глянуть книжку Software Transparency - Supply Chain Security in an Era of Software-Driven Society, недавно вышла в переводе: Прозрачное ПО. Безопасность цепочек поставок)
- сканеры видят не все и не справляются с обфускацией

Вот серия докладов на эту тему:
🟢2023 - Malicious Compliance: Reflections on Trusting Container...
Веселый и очень интересный доклад про то, как обмануть сканеры контейнеров. Срочная проверка, в образе куча уязвимостей, а комплаенс по инфобезу пройти надо. Править уязвимости долго и больно, да еще так чтоб не поломать. Решение очевидно - нужно обмануть сканеры уязвимостей))) Очень круто затронута проблема обфускации контейнеров и что с этим делать.

🟢2024 - Malicious Compliance Automated: When You Have 4000 Vulnerabilities and only 24 Hours Before Release
Не менее позитивный докладе, в продолжение темы, но уже используя Docker Slim, Mint, кстати с самим создатем этих инструментов

🟢2025 - Enhancing Software Composition Analysis Resilience Against Container Image
А тут рисеч инженеры подошли тотально, подготовили дата-сет с обфусцированными контейнерами, потестили как текущие популярные сканеры справляются с обфускацией и даже написали свой инструмент

🟢Кстати, я чуть упоминал про обфускацию на PHDays 2023 в докладе Руководство БДСМ (Бравого Докер Секурити Мастера), показывал, что в собранном в бинарь джава-сервисе "пропадают уязвимости") В этом году кстати буду на PHDays c докладом Руководство БДСМ:latest - там поглубже закопаемся в безопасность контейнеров, заскакивайте 😊

Вышел свеженький Technology Radar
Отлично полистать за чашечкой кофе😃
Краткий обзор в канале Enabling.team Insights

Вышло исследование от K2 и Positive Technologies "Настоящее и будущее российского рынка безопасной разработки и защиты контейнерных сред" Довольно интересно было полистать 😊

🟢Аудитория
Энтерпрайзный энтерпрайз - бизнес с выручкой от 5 млрд (Финтех, ИТ-компании, ритейл, промышленность, телеком и т.д)

🟢Респонденты
- руководители и специалисты ИТ-отдела - 46%
- безопасники - 25%
- разработчики - 24%

🟢Инсайты

Рост популярности контейнеров и микросервисов:
🔘65% компаний активно используют контейнеры для приложений.
🔘42% - используют контейнеры от 1 года до 4 лет, 24% - 5-9 лет
🔘Главная причина — быстрая разработка и простота управления.

Безопасность выходит на первый план:
🔘Число атак на контейнеры за год выросло на 44%, хотя 92% не сталкивались с серьезными инцидентами безопасности
🔘89% компаний сталкиваются хотя бы с одним инцидентом в Kubernetes за год.
🔘83% уделяют внимаю безопасности при разработке

Переход на российские решения:
🔘63% компаний пока используют зарубежные продукты.
🔘Только 45% из них планируют импортозамещение.
🔘Основные проблемы российских решений — высокая стоимость, нехватка специалистов и сложности интеграции.

Open Source активно используется:
🔘57% компаний защищают контейнеры при помощи зарубежных и open-source решений.
🔘Open-source выбирают за гибкость и низкую стоимость, но отмечают нехватку поддержки и ресурсов.

🟢Прогнозы:
🔘Автоматизация безопасности станет обязательной частью CI/CD.
🔘Усилится изоляция контейнеров и интеграция с облачными платформами.
🔘Появятся новые российские платформы защиты контейнеров для энтерпрайза.

В общем, контейнеризация все еще молодая область на практике, растет требования к защите контейнерных сред, опенсорс хорошо - но надо иметь ресурсы, чтоб допиливать, будут расти и развиваться российские энтерпрайзные решения. Кому интересно детальнее - очень рекомендую полистать отчет за чашечкой кофе, там еще и коменты специалистов есть, что круто.

А еще огромное спасибище @Pep_macgvai за подогон. Кстати, у кого есть еще всякое интересное про инфобез, девопс, иишечку, всякое суровое инженерное и другие полезняшки - кидайте в личку @SergeySabbath

#DevSecOps #Контейнеры #Безопасность #Импортозамещение #Исследование

Пока собирал всякие интересные пазлеры и нетривиальные интересности для квиза по контейнер секурити для доклада на PHDays, наткнулся на такое в официальной доке Докера по бест практисам сборки образов: есть неразрезолвенный баг, связанный со sparse-файлами. При создании контейнера с пользователем с большим uid, получается такой файл и заполняет диск. Причем баг в гошном пакете по работе с архивами и ишью открыто с 2015) Вобщем, воспроизвести такое не удалось, ничего не переполняется и все ок, подозреваю, что все пофикшено, но явно тоже не нашел. Вобщем если у кого получится или гошники что знают об этом - пишите в коменты 😃 А вообще не гуд, что в официальной доке не стоит дата изменений, не понятна ее актуальность.

PHDays стартанул и идет полным ходом😃😃😃
Трансляшки тут
Трансляшка от ][akep

Я буду на треке Development Security сегодня в 17:00

Кто не попал на доклад Руководство БДСМ:latest
И не видел шоу с злобным бананом и квиз по контейнер секурити
Можете насладиться им онлайн 🐳+🍌=😃
🟢yotube, vkvideo
🟢презенташка

А еще посмотрите и другие доклады, там много чего крутого и интересного 😃
🟢yotube, vkvideo