Marktübersicht: Sicherheitsscanner für Container-Images

Inhaltsverzeichnis

Die in diesem Artikel vorgestellten Tools untersuchen Container-Images auf bekannte Schwachstellen, veraltete Software, Fehlkonfigurationen und eingebettete Malware. Ein proaktives Container-Scanning ermöglicht den Entwicklungs- und Sicherheitsteams, Probleme zu erkennen, bevor sie im Produktivbetrieb landen. Dieser vorausschauende Ansatz verringert das Risiko von Sicherheitsverletzungen und Complianceverstößen und stellt die Integrität der containerisierten Anwendungen sicher. Alle Angaben in diesem Artikel stammen aus der Dokumentation der Hersteller und einem Kurztest, an dem 15 Hersteller teilgenommen haben.

Jede Schutzmaßnahme sollte konkret eines oder mehrere Risiken in ihren Auswirkungen oder ihrer Eintrittshäufigkeit reduzieren. Die wichtigsten hier im Überblick. Viele Container-Images werden auf Basis öffentlich verfügbarer Images erstellt. Sie können Malware, bekannte und unbekannte Schwachstellen enthalten. Bleiben diese unentdeckt, werden sie in die eigenen Container eingebettet. Auch selbst geschriebener Code für containerisierte Anwendungen und Bibliotheken von Drittanbietern können Anfälligkeiten für Angriffe wie SQL-Injection oder Remote Code Execution (RCE) mit sich bringen. Viele Risiken gehen auch von fehlerhaften Konfigurationen aus, wie die Ausführung als Root, zu viele Mounts auf dem Node oder nicht eingeschränkte Syscalls.

Mehr zu IT-Security

• Marktübersicht: Sicherheitsscanner für Container-Images
• Secure Boot und Startverbote unter Linux
• Sicherheitsexperte im Interview: Wie Insider ihr Wissen im Darknet verkaufen
• Secure-Boot: Massenhaft Startverbote für Bootloader spätestens ab Oktober 2024
• Windows: Vom Startverbot bedrohte Bootloader identifizieren, prüfen, reparieren
• Probleme mit UEFI Secure Boot verstehen und überwinden
• Sicherheitsstrategien: Vorbereitet für den Cyber-Ernstfall
• Role Engineering in Aktion
• IT-Sicherheit: Role Engineering für rollenbasierte Zugriffskontrolle

Christoph Puppe

Christoph Puppe ist Principal Enterprise Security Architect und Auditteamleiter für ISO 27001 nach Grundschutz bei NTT DATA Deutschland SE, Mitautor des Grundschutz-Kompendiums und ehemaliger Penetrationstester.

Auch die CI/CD-Pipeline, das Rückgrat der modernen Entwicklung, birgt einzigartige Sicherheitsrisiken für Container. Angreifer können Build-Systeme kompromittieren oder bösartige Abhängigkeiten einschleusen, um Container-Images mit Malware oder Backdoors zu infizieren. Ein enormes Risiko besteht auch, wenn vertrauliche Daten wie Secrets, private Schlüssel, API-Schlüssel oder Datenbankzugangsdaten versehentlich oder absichtlich in Container-Images gelangen. Wer dann Zugriff auf ein solches Image hat, kann diese Secrets für Angriffe ausnutzen. Diese Risiken sind nicht nur bei Eigenentwicklungen vorhanden, sondern auch bei externer Software, die oft direkt als Container kommt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

---

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Wärmepumpenstrom soll künftig automatisch günstiger sein. An welche Bedingungen das geknüpft ist und was für Bestandsgeräte schon jetzt gilt.

---

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

KI-Experte ist aktuell ein gefragter Beruf, mit dem sich viel Geld verdienen lässt. Aber welche Skills sind relevant und welche Fortbildungen lohnen sich?

---

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

• Hackintosh mit Sonoma bauen

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren

---

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

---

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Wärmepumpenstrom soll künftig automatisch günstiger sein. An welche Bedingungen das geknüpft ist und was für Bestandsgeräte schon jetzt gilt.

---

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

KI-Experte ist aktuell ein gefragter Beruf, mit dem sich viel Geld verdienen lässt. Aber welche Skills sind relevant und welche Fortbildungen lohnen sich?

---

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

• Hackintosh mit Sonoma bauen

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren

---

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.