1.5.2　镜像安全问题仍然很突出

Sysdig的报告中提到，在用户的生产环境中，有47%的镜像来源于公开的镜像仓库，如最大的容器镜像仓库Docker Hub[1]。

一方面，很多开源软件的官方维护者会在Docker Hub上发布容器镜像，这些镜像都是官方团队通过Dockerfile构建的，具有可信、便捷、标准等特点。

另一方面，用户或开发者通常会直接下载这些公开仓库中的容器镜像，或基于这些基础镜像定制自己的镜像，或通过编排系统直接启动这些镜像的容器实例，整个过程非常方便、高效。

然而，我们发现Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，具体可参见9.3.1节的分析。一方面，很多软件开发者没有建立专门的安全团队，不能及时检查并应用软件的安全更新；另一方面，即便都是官方团队，安全团队与镜像维护团队可能存在流程不一致，导致官方代码更新了安全补丁，但镜像没有及时更新。

除了需要重点关注镜像中的通用漏洞外，镜像中的其他脆弱性问题同样不容忽视，比如镜像中是否暴露了账号和密码等信息，是否包含了密钥文件，是否部署并暴露（expose）了SSH服务，是否运行了本应禁止的命令，是否有木马病毒，等等。

[1] https://hub.docker.com。