不能忽视在微服务架构中使用docker技术的风险

图片来自网络

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。Docker（容器）是在不同的计算环境中部署和运行软件的一种小型、快速和易于设置的方法。通过将应用程序的完整运行时环境(包括库文件、二进制文件和配置文件以及平台和基础设施等)进行抽象，使得应用程序可以在任何地方运行。所有主要的云服务提供商以及数据中心和混合云等都可以使用容器。这种技术可以为公司节省很多硬件及配置管理方面预算。

某企业首席安全与战略官表示，容器镜像可以方便的进行代码打包，但是使用者可能没有时间或兴趣来监视安全问题或进行发布说明。

“理想情况下，您应该设置一个步骤来检查版本控制，但是我没有看到任何组织这样做，”。“公司应该不断检查容器是正在使用的最新版本，所有的代码都是经过补丁和更新的。但是现在，大多数情况是由开发人员手动检查的。相信 会有一些组织和公司会使用更加自动化的机制，但是现在大部分的情况是这样，没有任何自动化检查，你发布一个容器，然后运行它，所有工作完成了。

当开发人员构建自己的容器时，情况并不会好得多。开发速度意味着没有时间进行质量保证或安全测试。当有人注意到容器在那里的时候，开发人员已经完成了自己的工作并且已经离开了。

“在安全团队可以进入的时候，系统开发的生命周期可能已经结束了，”某公司的的解决方案架构主管这样说过。“这是一个挑战，它需要不同的安全思维。”，我们需要在开发过程的早期建立安全意识，并尽可能地运用自动化技术。例如，如果开发人员从外部源下载图像，则需要扫描其漏洞、未修补的代码和其他潜在问题。他问道:“一旦这个容器被使用，如何维护和监控它的安全状态，以保证很快就能工作，并可以与其他组件交进行互?”