Image Security Testing
Container Image Testing bewertet die Herkunft des Basis-Images (vertrauenswürdige Registries vs. öffentliche Quellen), das Scannen auf bekannte CVEs (OS-Pakete, Anwendungsabhängigkeiten), die Signierung und Verifizierung von Images, eine möglichst schlanke Image-Konstruktion (unnötige Pakete vergrößern die Angriffsfläche) und Best Practices für Dockerfiles (Multi-Stage Builds, Non-Root-Benutzer, Read-Only-Layer).
Runtime Configuration Testing
Runtime Testing bewertet, ob Container als Non-Root-Benutzer ausgeführt werden, ob der Privileged Mode deaktiviert ist, ob Capability Dropping implementiert ist, ob Read-Only-Root-Dateisysteme erzwungen werden und ob Ressourcenbeschränkungen Denial-of-Service-Angriffe verhindern. Jede unnötige Berechtigung ist ein potenzieller Escape-Vektor.
Registry Security
Das Testing bewertet die Zugriffskontrollen der Registry, Image-Pull-Richtlinien, die Integration des Vulnerability Scanning und ob unsignierte oder ungescannte Images in der Produktion eingesetzt werden können.
Container Escape Vectors
Das Testing sucht nach Escape-Vektoren: Privilegierte Container, Host-Namespace-Sharing, beschreibbare Docker Socket Mounts, die Ausnutzung von Kernel-Schwachstellen und falsch konfigurierte seccomp/AppArmor-Profile. Container Escape ist der schwerwiegendste Befund im Bereich Container Security.
Testing with Penetrify
Das Container Security Testing von Penetrify deckt Image-Analyse, Runtime-Konfiguration, Registry Security und Escape Vector Testing ab – und bietet so die vollständige Container Security Assessment, die Compliance Frameworks erfordern.
Das Wichtigste
Container sind nur so sicher wie ihre Konfiguration. Image-Schwachstellen, Runtime-Privilegien und Escape-Vektoren bergen Risiken, die herkömmliche Testmethoden übersehen. Penetrify testet den gesamten Container-Lifecycle.