Open source tools for container vulnerability analysis

Abstract

[EN] Containerization technologies have been an important element in the spread of cloud computing adoption, since they have enabled the deployment of modern applications in a more efficient way. They offer several advantages: container virtualization mechanisms are much less resource intensive compared to traditional virtualization technologies, containers have great portability, since application code and libraries are packaged together in a standardized way, they allow developers to build applications based on microservices much more easily, and they still maintain great security and isolation of the applications running inside.

Even though containers can offer a good level of security and isolation, the flexibility of containerization technologies means that their optimal configuration is a non-trivial task, which, together with bugs present in any of its layers, can end up creating vulnerabilities that can be potentially exploited by malicious actors. Security breaches are a central issue in the current technological landscape and are gaining increasing attention due to the amount of them that happen every year and their nefarious consequences for confidentiality, integrity and availability.

Container vulnerabilities can be broadly classified in container application vulnerabilities, container configuration vulnerabilities, container image vulnerabilities, container engine vulnerabilities and host vulnerabilities. In this project, we aim to study each of these types of vulnerabilities, search the open source tools available to tackle each of them and compare a set of such tools to determine which ones are more adequate.

[ES] Las tecnologías de contenedores han sido un elemento importante en la difusión de la adopción de la computación en la nube, dado que han permitido el despliegue de aplicaciones modernas de una manera mucho más eficiente. Ofrecen varias ventajas: los mecanismos de virtualización de contenedores utiliza considerablemente menos recursos comparado con las tecnologías de virtualización tradicionales, los contenedores tienen una gran portabilidad, ya que el código de la aplicación y las bibliotecas son empaquetados juntos de una manera estandarizada, permiten a los desarrolladores crear aplicaciones basadas en microservicios mucho más fácilmente, y todo eso manteniendo un buen nivel de seguridad y aislamiento de las aplicaciones que se ejecutan.

A pesar del buen nivel de seguridad y aislamiento que los contenedores pueden ofrecer, la flexibilidad de las tecnologías de contenedores implica que su configuración óptima no es una tarea nada trivial, cosa que, junto con los errores presentes en cualquiera de sus capas, puede acabar creando vulnerabilidades que pueden ser potencialmente explotadas por actores malintencionados. Los fallos de seguridad son un asunto central en el panorama tecnológico actual y están ganando una creciente atención debido a la cantidad de ellos que ocurren cada año y a las consecuencias nefastas que tienen para la confidencialidad, la integridad y la disponibilidad.

Las vulnerabilidades de los contenedores pueden ser clasificadas de manera general en vulnerabilidades de las aplicaciones de los contenedores, vulnerabilidades de la configuración de los contenedores, vulnerabilidades de las imágenes de los contenedores, vulnerabilidades del motor de contenedores y vulnerabilidades del sistema anfitrión. En este proyecto, se pretende estudiar cada uno de estos tipos de vulnerabilidades, buscar las herramientas de código abierto disponibles para abordar cada una de ellas y comparar un conjunto de tales herramientas para determinar cuáles son las más adecuadas.

[CA] Les tecnologies de contenidors han sigut un element important en la difusió de l'adopció de la computació al núvol, donat que han permés el desplegament d'aplicacions modernes d'una manera molt més eficient. Oferixen diversos avantatges: els mecanismes de virtualització de contenidors utilitzen considerablement menys recursos comparat amb les tecnologies de virtualització tradicionals, els contenidors tenen una gran portabilitat, ja que el codi de l'aplicació i les biblioteques són empaquetats junts d'una manera estandarditzada, permeten als desenvolupadors crear aplicacions basades en microserveis molt més fàcilment, i tot això mantenint un bon nivell de seguretat i aïllament de les aplicacions que s'hi executen. Tot i el bon nivell de seguretat i aïllament que els contenidors poden oferir, la flexibilitat de les tecnologies de contenidors implica que la seua configuració òptima no és una tasca gens trivial, cosa que, junt amb els errors presents en qualsevol de les seues capes, pot acabar creant vulnerabilitats que poden ser potencialment explotades per actors malintencionats. Les fallades de seguretat són un assumpte central en el panorama tecnològic actual i estan guanyant una creixent atenció degut a la quantitat d'elles que ocorren cada any i a les conseqüències nefastes que tenen per a la confidencialitat, la integritat i la disponibilitat. Les vulnerabilitats dels contenidors poden ser classificades de manera general en vulnerabilitats de les aplicacions dels contenidors, vulnerabilitats de la configuració dels contenidors, vulnerabilitats de les imatges dels contenidors, vulnerabilitats del motor de contenidors i vulnerabilitats del sistema amfitrió. En aquest projecte, es pretén estudiar cadascun d'aquests tipus de vulnerabilitats, cercar les ferramentes de codi obert disponibles per a abordar cadascuna d'elles i comparar un conjunt de tals ferramentes per a determinar quines són les més adequades.