Unternehmen fehlt der Überblick darüber, wo ihre Container-Images landen, sobald sie kontrollierte Umgebungen verlassen. BigID stellt daher heute einen produktionsreifen Container-Image-Crawler als Open Source zur Verfügung, um Sicherheitsteams bei der Überwachung öffentlicher Registries zu unterstützen und Lieferkettenrisiken zu reduzieren.
Warum wir es gebaut haben
Vor zwei Jahren haben wir uns vorgenommen, ein wachsendes Problem zu lösen: unautorisierte Kopien von BigID-Container-Images, die in öffentlichen Registries wie z. B. [Name der Registries] auftauchen. DockerHub, AWS ECR Publicund Quay.io.
Wir konnten diese Expositionen nicht zuverlässig nachweisen. Entdeckung Es hing vom Zufall ab. Jemand musste manuell ein öffentliches Bild finden.
Diese mangelnde Transparenz barg sowohl Risiken für geistiges Eigentum als auch potenzielle Sicherheitslücken. Wir benötigten eine skalierbare Methode, um zu überwachen, wo unsere Container-Images auftauchten und ob sie verändert worden waren.
Was wir veröffentlichen
Heute stellen wir einen produktionsreifen Container-Image-Crawler als Open Source zur Verfügung, der auf Erweiterbarkeit und Skalierbarkeit ausgelegt ist.
Jede Organisation kann es einsetzen, um Container-Images in öffentlichen Registries zu überwachen.
Der Crawler scannt standardmäßig Folgendes:
- AWS ECR Öffentliche Galerie
- DockerHub
- Quay.io
Die Architektur nutzt ein Plugin-basiertes System. Teams können die Abdeckung schnell auf zusätzliche Register ausweiten, wie zum Beispiel:
- GitHub Container Registry
- GitLab
- Private Register
Diese Flexibilität ermöglicht es Sicherheitsteams, die Überwachung an ihre spezifischen Umgebungen anzupassen.
Warum das wichtig ist
Nicht autorisierte Container-Images bergen mehr als nur ein Risiko für geistiges Eigentum. Sie schaffen eine Sicherheitslücke in der Lieferkette.
Angreifer können legitime Bilder verändern und erneut veröffentlichen. Die nachfolgenden Nutzer müssen dann entscheiden, ob ein Bild vertrauenswürdig oder manipuliert ist.
Ohne kontinuierliche Überwachung, Organisationen entdecken diese Risiken oft zu spät, nachdem Bilder bereits extrahiert und verwendet wurden.
Die meisten Teams verlassen sich immer noch auf manuelle Datenanalyse oder externe Berichte. Dieser Ansatz ist nicht skalierbar.
Vom internen Werkzeug zur Open-Source-Lösung
Wir setzen diesen Crawler seit zwei Jahren produktiv ein. Er ermöglicht uns eine kontinuierliche Überwachung der unautorisierten Bildverteilung und hilft uns, schneller zu reagieren.
Durch die Veröffentlichung als Open Source verfolgen wir folgendes Ziel:
- Senken Sie die Hürde für die Überwachung von Container-Images.
- Unterstützen Sie Sicherheitsteams bei der Reduzierung von Lieferkettenrisiken
- Ermöglichen Sie breiter angelegte, gemeinschaftlich getragene Verbesserungen
Los geht's
Das Repository ist jetzt verfügbar auf GitHub.
Setzen Sie es ein, erweitern Sie es und bauen Sie darauf auf. Wenn Sie etwas Wertvolles schaffen, freuen wir uns über Beiträge zum Projekt.
