@T3fl0n Da steht implizit, dass die in den Images enthaltenen Programme ihre Sicherheitslücken auch ganz unabhängig von Docker haben.

Oder lese ich das falsch? 🤔

@sr_rolando Du liest richtig. Das problem ist, dass die programme in den images nicht aktualisiert werden, wenn die sicherheitslücken geschlossen sind.

Aus der verlinkten studie:

„A brief analysis of the numbers from our database revealed that 31.4% of images have not been updated in 400 days or longer and 43.8% have not been updated in 200 days or longer. The percentage of images that have been updated during the last 14 days are 29.8%.“

Also knapp die hälfte der images (im sample) wurden im letzten halben jahr nicht aktualisiert.

@T3fl0n

@tastytea @T3fl0n

Danke. Und klar: Strategien für das (umsichtige) Aktualisieren von Software, die man verwendet, sind gefragt. Das gilt zwar auch ganz unabhängig von Docker-Images, aber zumindest die Vorlagen eben dieser (z.B. bei Docker-Hub) sollten aktuell sein. Frage ist wohl: Wer kümmert sich drum? Und dann am besten auch gleich noch um die „darüber“ liegenden Helm-Charts…)

@T3fl0n Das ist doch aber das Feature von containerisierten Anwendungen. Alle Abhänigkeiten in genau der einen stabil laufenden Version mitbringen und nie wieder anfassen. Das es dazu Studien braucht...

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community