Журнал "Information Security/ Информационная безопасность" #2, 2025

Алексей Рыбалко, Лаборатория Касперского Технологии и инструменты не рабо- тают без культуры их применения среди составителей образов. Далеко не все- гда в компаниях есть команда выход- ного контроля безопасности разраба- тываемых продуктов. Зато всегда есть сжатые временные рамки, требования заказчиков и руководства. Поэтому в первую очередь разработчики и соста- вители образов заинтересованы в опе- ративном решении задачи создания функционала в ограниченный срок. А "сдвиги влево" приходят уже позже с достижением некоторой зрелости команды по части ИБ. Михаил Бессараб, Positive Technologies Контейнеры изначально придуманы для того, чтобы быстро проверять гипо- тезы, поэтому уязвимостям не всегда уделяется внимание. Многое зависит от того, где собирать статистику. Например, если посмотреть на Docker Hub и другие открытые ресурсы, то статистику сильно будут размывать "тестовые" и "зара- женные для тестирования" образы, кото- рые редко задумывались для использо- вания в проде, и потому особо никогда не исправляются. То же самое можно сказать и о политике хранения, которая редко настраивается для публичных репозиториев владельцами, – и мы видим множество старых образов. Поэтому помимо уменьшения базовых образов, сканирований и патчинга уязви- мостей некоторым компаниям недостает дополнительной гигиены: настройки политик хранения, удаления неисполь- зуемых репозиториев, инвентаризации образов. Дмитрий Евдокимов, Luntry Уязвимости были, есть и будут. Кода становится только больше, включая заимствованный. Технологии семи- мильными шагами идут вперед и без особой оглядки на безопасность, кто бы что ни говорил. И даже если в какой-то момент времени в образе нет уязвимостей, это не значит, что через час они там не появятся. Нужно забыть про концепцию, что у нас вообще нет уязвимостей, – и надо строить без- опасность с мыслью, что они там есть всегда. Игорь Душа, НОТА Большинство контейнеров уязвимы из-за формального подхода к DevSecOps, когда проверки проводят на финальных этапах, не учитывая, что уязвимости возникают раньше. Кроме того, бизнес зачастую применяет уста- ревшие образы и не уделяет должного внимания обновлениям. Решить эту проблему можно только пересмотром процессов: внедрением строгих политик CI/CD с обязательным сканированием зависимостей, блокировкой сборки при критических уязвимостях, переходом на минималистичные образы и регу- лярным аудитом сторонних компонен- тов. Максим Чудновский, СберТех Shift Left Security требует целостной работы с инженерной и производствен- ной культурой, а также тесной, бес- шовной интеграции и автоматизации всех этапов производственного кон- вейера. Такой комплексный подход требует много времени, ресурсов и инвестиций. Важно также отметить, что уязвимостей много и в базовых репозиториях, откуда собираются обра- зы. С одной стороны, уязвимости посто- янно выявляются, а с другой – "подни- мать" версии пакетов внешних зависи- мостей дорого, это всегда дополни- тельная разработка. Технологии контейнер- ной безопасности актив- но развиваются, но поче- му на практике все еще 70–75% контейнерных образов содержат уязви- мости высокого уровня? Что мешает реально "сдвинуть влево" про- цессы безопасности? Как обеспечить реаль- ную Zero Trust-модель между микросервисами без резкого роста слож- ности управления и задержек в сети? Где реальная грань между безопасностью и дегра- дацией производитель- ности? 42 • СПЕЦПРОЕКТ О главных угрозах и трендах в контейнерной безопасности онтейнерные технологии стали неотъемлемой частью современных инфраструктур, но их безопасность остается проблемой. Эксперты отмечают, что большинство контейнерных образов до сих пор содержат критические уязвимости, несмотря на доступность инструментов защиты. Внедрение Zero Trust в микросервисных средах требует баланса между безопасностью и производительностью, а актуальность SBOM в условиях постоянных обновлений вызывает споры. О реальных вызовах контейнерной безопасности, эффективных стратегиях защиты и приоритетах рассуждают эксперты в области Container Security. К Эксперты: Михаил Бессараб, руководитель продукта PT Container Security Игорь Душа, директор портфеля решений экосистемы в области информационной безопасности “Купол”, разработки вендора НОТА (ИТ-холдинг Т1) Дмитрий Евдокимов, основатель и технический директор, Luntry Алексей Рыбалко, специалист по защите сред контейнерной разработки, “Лаборатория Касперского” Руслан Субхангулов, директор по продукту CrossTech Container Security Максим Чудновский, лидер продукта Platform V Synapse Service Mesh, СберТех