计算机发展太快,有时我们会感叹现在大家对计算资源和存储资源的浪费简直需要另一个“光盘行动”来治理一下,而docker这个快速打包和部署各种服务的容器化服务就是浪费界的翘楚。不过研究人员注意到“Docker images are not always self-contained”,也就是说很多容器的image里面并没有包含所需要运行的服务的完整组件,这看起来似乎很矛盾:一方面它导致了一个容器没法即插即用,另一方面倒也是节约了一些资源。现在问题来了,如果这些image在运行后再去网络上拉取相关需要的内容,那会不会引发安全问题呢?请看RAID 2025研究论文Uncontained Danger: Quantifying Remote Dependencies in Containerized Applications
这篇论文其实比较枯燥,没有什么特别新奇的结论,总体来说就是先用爬虫去收集了20万个docker image,然后想办法把这些image启动起来(想都不用想,2025年的套路就是用AI去写启动脚本),然后观察这些image的网络行为,抓到可能的不安全数据连接:
吐槽一下现在论文画图都这么随意了吗,还是说用严肃的字体就是老登?
作者设计了名为DockerGYM的分析系统,DockerGYM把容器的启动分为两类:平凡的启动(Vanilla Run)和智慧的启动(LLM-assisted Run),在启动之后,用nmap去扫描相关的网络端口,而且如果涉及到web服务,还要启动一个Firefox实例去尝试连接之。当然这些手段都只是想办法去触发整个image里面可能包含的组件下载行为,然后观察看看有没有不安全的流量(例如HTTP)。
于是整篇论文就变成了比较无聊的实验观察和数据统计,下表统计了所有image在运行后的一些基本的网络活动概况:
这些image访问最多的域名(根据DNS流量统计得出)包括:
然后就是关于(不)安全的部分,主要就是看有没有HTTP流量:
以及HTTP访问了哪些资源:
当然,实验里面还有一些细节,比如说HTTPS可被重定向到HTTP的问题、TLS版本低/证书检查不严格等问题,都是比较平凡的问题,也没有什么比较吸引眼球的case study,大家随意看看就好。
关于论文的artifacts,代码看起来朴实无华,如果是用作实验复现其实还蛮不错的!
https://github.com/uncontained-danger/artifacts
论文:https://securitee.org/files/dockergym_raid2025.pdf
