Docker 相关
基本上是对docker中的package进行分析是否有Vulnerablity
A Study of Security Vulnerabilities on Docker Hub
- 运行docker检测CVE,运用Clair这个工具
- image之间的继承关系分析,研究诸如漏洞传播与修复在迭代的image中的关系(layer之间有JSON file说明层之间的迭代关系)
Backdoored Docker Images Removed From Docker Hub
https://www.bleepingcomputer.com/news/security/17-backdoored-docker-images-removed-from-docker-hub/?cf_chl_jschl_tk=pmd_SJIOIEyKijVCu5xWs3iZJJRPgPbYMIKn97rTA.s.530-1631636004-0-gqNtZGzNAiWjcnBszQeR
发布image没有review的过程
On the Impact of Outdated and Vulnerable Javascript Packages in Docker Images
- Image中npm package的过期程度(根据调查日期与更新日期进行比较)
- Image有多vulnerable(用npm vulnerability reports比对image中的vulnerability)
Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities
把官方的docker image和野鸡的docker image拿来进行分别分析对其中的包进行分析。
研究方法依旧是用NVD中给出的CVE与image进行比较
综合型empirical study
Docker ecosystem – Vulnerability Analysis
非常综合的一篇文章,对docker的各方面问题以及不同的应用背景进行了阐述
并不仅局限于package的vul,有focus在docker本身的安全问题,比如从docker中逃逸之后提权等问题。