Перейти к содержанию

Блокировка Docker Hub: какие выводы нужно сделать


Рекомендуемые сообщения

В конце мая публичная библиотека образов Docker Hub внезапно стала недоступна с территории России. В Сети незамедлительно появилось множество рецептов по решению этой проблемы, суть которых в основном сводилась к созданным в спешке зеркалам и прокси-серверам для доступа к заблокированному ресурсу. Проблемы доступности образов эти способы действительно решают, но при этом увеличивают ИБ-риски и в первую очередь — вероятность атаки через цепочку поставок.

Доступ к Docker Hub через несколько дней вернули, но гарантий, что он останется с нами навсегда, никто дать не может. Особенно в условиях современной геополитической напряженности. Разумеется, проблема не ограничивается одним Docker Hub — есть множество как опенсорсных, так и проприетарных ресурсов, которые активно используются в разработке ПО и при этом находятся за рубежом, а значит, в любой момент могут быть заблокированы (не с той стороны, так с этой). Поэтому случай с недоступностью Docker Hub следует расценивать как своего рода тревожный звонок: это повод заранее продумать, как именно вы планируете продолжить работу в случае чего, к каким рискам приведет выбранный вами способ, а главное — какие инструменты следует использовать, чтобы минимизировать эти риски.

В чем риски использования обходных путей

В последние годы злоумышленники все чаще пытаются организовывать атаки на цепочку поставок (supply chain attack) при помощи добавления вредоносной функциональности в публично доступные проекты. Как показывает недавняя история с XZ Utils, они ищут любую возможность для того, чтобы отравить репозитории. Внезапное отключение какого-либо репозитория здорово играет им на руку: девелоперы начинают в спешке искать способ восстановления непрерывности рабочего процесса и могут забыть о сопутствующих рисках.

Главной проблемой любого «обходного» решения, будь то прокси или зеркало, является то, что вы не представляете, что за люди его сделали и каковы были их реальные намерения. Может, это группа разработчиков, которые действительно хотят помочь, а может быть, банда злоумышленников, увидевшая удобную возможность отравить популярный образ или пакет.

Отдельный вопрос заключается в защищенности самих этих обходных решений. Даже если их создатели и не имели враждебных намерений, велика вероятность того, что они собирали свой проект в спешке и недостаточно тщательно продумали безопасность своего сервиса. А тем временем они тоже могут стать целью злоумышленников. Поэтому перед использованием полученных образов их необходимо сканировать на предмет закладок.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Galegan
      Автор Galegan
      Здравствуйте! Подскажите какие нужно обязательно ставить драйвера из списка чипсета на материнскую плату GIGABYTE B760M DS3H? В диспетчере устройств показывает вопросительными знаками на устройства PCI. Процессор i5 13400F, OS Windows 10.
       


    • setwolk
      Автор setwolk
      Доброго времени суток.
      Поискал тут, тем много у всех свои проблемы, но такой темы не нашел...
      Подскажите как заблокировать конкретный сайт побывал уже здесь https://support.kaspersky.ru/kes-for-windows/12.9/128056 попробовал все, всё равно сайты открываются.
      Как правильно написать чтобы сайт точно залочился.
      Взял на примере ya.ru и dzen.ru
      Правило в самом верху, замки закрыты...
    • KL FC Bot
      Автор KL FC Bot
      Когда год назад Microsoft анонсировала функцию «фотографической памяти» Recall для компьютеров Copilot+ PC, эксперты ИБ забили тревогу. Многочисленные недостатки Recall серьезно угрожали конфиденциальности, и в Редмонде отложили запуск, чтобы доработать решение. Видоизмененный Recall появился в сборках Windows Insider Preview с апреля 2025 года, а в мае 2025 года стал широко доступен на компьютерах, имеющих нужное оборудование. Суть Recall не изменилась — компьютер запоминает все ваши действия, постоянно делая скриншоты и распознавая с применением OCR их содержимое. Но защита этих данных серьезно улучшена. Насколько это меняет общую ситуацию с Recall и стоят ли некоторые его удобства возможной потери контроля над личной информацией?
      Что изменилось во втором выпуске Recall
      Со времен первого анонса, о котором мы подробно писали, в Microsoft адресно проработали основные претензии экспертов ИБ.
      Во-первых, Recall теперь активируется только с разрешения пользователя при первоначальной настройке системы. Интерфейс не навязывает пользователям выбор визуальными трюками вроде выделения кнопки «Да».
      Во-вторых, файлы базы данных Recall теперь шифруются, а хранение ключей и криптографические операции организованы на базе аппаратного модуля защиты TPM, так что их извлечение стало значительно сложнее.
      В-третьих, специальный фильтр пытается не сохранять ни скриншоты, ни тексты, если на экране находится потенциально секретная информация: окно браузера в режиме инкогнито, окно ввода платежных данных, карточки в менеджере паролей и так далее. Важен акцент на слове «пытается» — все тестеры описывают многочисленные случаи, когда конфиденциальные данные проскочили фильтр и оказались в базе распознавания.
       
      View the full article
    • infobez_bez
      Автор infobez_bez
      Доброго времени суток!
      Можно ли через kaspersky security center web console версии 14.2 блокировать или как-то ограничить доступ к определенным учетным записям на ПК?
      Не смог найти такой функционал, пытался через политики - контроль приложений (не получилось)
      В разделе "учетные записи пользователей" можно сделать только группу в которой нет никах настроек прав и т.п.
      Может кто-то сталкивался и знает как это делать или же это не предусмотрено?
    • AJIEKCAHDP
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
×
×
  • Создать...