1.5.2　鏡像安全問題仍然很突出

Sysdig的報告中提到，在用戶的生產環境中，有47%的鏡像來源于公開的鏡像倉庫，如最大的容器鏡像倉庫Docker Hub[1]。

一方面，很多開源軟件的官方維護者會在Docker Hub上發布容器鏡像，這些鏡像都是官方團隊通過Dockerfile構建的，具有可信、便捷、標準等特點。

另一方面，用戶或開發者通常會直接下載這些公開倉庫中的容器鏡像，或基于這些基礎鏡像定制自己的鏡像，或通過編排系統直接啟動這些鏡像的容器實例，整個過程非常方便、高效。

然而，我們發現Docker Hub上的鏡像安全并不理想，有大量的官方鏡像存在高危漏洞，具體可參見9.3.1節的分析。一方面，很多軟件開發者沒有建立專門的安全團隊，不能及時檢查并應用軟件的安全更新；另一方面，即便都是官方團隊，安全團隊與鏡像維護團隊可能存在流程不一致，導致官方代碼更新了安全補丁，但鏡像沒有及時更新。

除了需要重點關注鏡像中的通用漏洞外，鏡像中的其他脆弱性問題同樣不容忽視，比如鏡像中是否暴露了賬號和密碼等信息，是否包含了密鑰文件，是否部署并暴露（expose）了SSH服務，是否運行了本應禁止的命令，是否有木馬病毒，等等。

[1] https://hub.docker.com。