Sichere Container
Containerisierte Anwendungen vereinfachen Installation und Betrieb, doch bringen sie lange und oft intransparente Ketten von Abhängigkeiten mit sich. Eine Handvoll Regeln hilft, den dort versteckten Schwachstellen auf die Spur zu kommen und sicherere Container zu bauen.
Auf der Website von Docker findet sich ein Satz, der übersetzt wie folgt lautet und die Komponenten eines Containers beschreibt: „Ein Docker-Container-Image ist ein leichtgewichtiges, eigenständiges, ausführbares Softwarepaket, das alles enthält, was nötig ist, um eine Anwendung auszuführen: Code, Laufzeitumgebung, Systemtools, Systembibliotheken und Einstellungen.
Diese Aufzählung zeigt genau, wo aus Sicht der Supply-Chain-Security die Probleme liegen. Denn Container werden in der Regel in den Entwicklungsabteilungen gebaut; und damit geraten Teile des Softwarestacks in deren Verantwortungsbereich, die traditionell bei den Betreibern der Server lagen, mit all deren direkten und indirekten Abhängigkeiten. Dieser Übergang von Verantwortung für große Teile der Supply Chain vom Administrator eines Servers auf den Anbieter eines Containers ist vielen noch nicht wirklich bewusst.