网站开发的技术指标,海东市住房和城乡建设局网站,湖北手机网站制作,河南省建筑工程信息网领先的网络安全专家对公开的 Kubernetes 配置表示担忧#xff0c;这可能会威胁许多组织供应链的安全。
受影响的公司包括两家主要的区块链公司#xff08;出于安全原因#xff0c;其名称已被隐去#xff09;以及其他多家财富 500 强公司。
Aqua Security 研究人员报告称这可能会威胁许多组织供应链的安全。
受影响的公司包括两家主要的区块链公司出于安全原因其名称已被隐去以及其他多家财富 500 强公司。
Aqua Security 研究人员报告称加密的 Kubernetes 配置数据已上传到公共存储库。
机密数据是使用 GitHub API 获取的其中记录包含与“. dockerconfigjson ”和“.dockercfg “。
这些文件存储用于访问容器的映像注册表的凭据。
分析显示在438 条可能包含有效注册凭据的记录中203 条记录约占 46%实际上包含提供对这些记录的访问权限的有效数据。
研究人员指出在大多数情况下这些凭据允许下载和上传信息。
在评估所使用凭据的可靠性时专家们发现438 个密码中有 93 个是手动设置的而 345 个是由计算机生成的。
然而这93个密码中有近50%是弱密码包括password、test123456、windows12、ChangeMe、dockerhub 等。
研究人员的数据凸显了通过要求员工使用更严格的规则来创建密码来加强组织中的安全策略的迫切需要。
Aqua 还注意到组织不小心将密码留在了发布到 GitHub 公共存储库的文件中从而导致信息意外泄露。
此外一些密钥被进一步加密使其无法使用。
有时即使密钥有效它也具有最小的权限通常只适合加载特定的工件或图像。
Aqua Security 研究人员总结道潜在的数据泄露、专有代码泄露和供应链攻击强烈提醒我们需要采取强有力的安全措施。
他提醒开发人员使用临时代币、数据加密、最小原则的重要性特权以及使用双因素身份验证。
专家认为这些措施足以保护集装箱记录。
根据红帽 4 月份 Kubernetes 安全状况报告 漏洞和错误配置是容器环境中最大的安全挑战。
在接受调查的 600 名参与者中有 37% 的人表示由于与容器和 Kubernetes 相关的安全事件而导致收入或客户损失。
