近日,由上海交通大学、奇安信技术研究院、清华大学合作完成的论文被国际顶级学术会议 WWW 2025(ACM Web Conference 2025)录用。
论文题目是《Dr. Docker: A Large-Scale Security Measurement of Docker Image Ecosystem》,奇安信技术研究院是共同通讯作者单位。
Docker 改变了现代软件开发,使容器化应用的广泛复用成为可能。目前,Docker 镜像主要通过集中式注册表分发,其中 Docker Hub 规模最大,使开发者能够轻松共享和复用镜像。这些镜像中的安全威胁也会通过依赖关系在供应链中传播,对使用该镜像的用户以及所有基于该镜像构建的镜像构成风险。然而,目前尚不清楚 Docker 镜像中的威胁在何种程度上被分发和传播。
在本文中,我们研究了 Docker 镜像中的五种潜在安全风险,并基于这些安全问题提出了一个安全分析框架 DITECTOR。随后,我们利用 DITECTOR 对 Docker 镜像生态系统进行了大规模安全测量。我们从 Docker Hub 收集了超过 1200 万个镜像的描述信息,基于镜像的层信息构建了镜像依赖图,并根据拉取次数和依赖权重选择了两组具有影响力的镜像,总计 33,952 个镜像。我们发现:在分析的镜像中,93.7% 存在已知漏洞,4,437 个镜像泄露了敏感信息,50 个镜像存在错误配置,以及24 个恶意的镜像。此外,我们还发现 334 个下游镜像受到恶意镜像的影响,并揭示了供应链中的攻击传播模式。我们讨论了缓解这些问题的措施,并将我们的发现报告给了相关方,收到了积极的回应。
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、南京、成都等城市,详情请参见:https://research.qianxin.com/recruitment/