Späť na blog
9. marca 2026

Testovanie bezpečnosti kontajnerov: Docker, obrazy a ochrana runtime

Viktor Bulanek
Founder & CTO, Penetrify
MSc IT Security · 20+ years in security · 4x Ex-CTO

Testovanie bezpečnosti obrazov

Testovanie kontajnerových obrazov vyhodnocuje pôvod základného obrazu (dôveryhodné registre vs. verejné zdroje), skenovanie známych CVE (balíčky OS, aplikačné závislosti), podpisovanie a overovanie obrazov, minimalizáciu konštrukcie obrazu (zbytočné balíčky zväčšujú priestor pre útok) a osvedčené postupy pre Dockerfile (viacstupňové buildy, používatelia bez práv roota, vrstvy len na čítanie).

Testovanie konfigurácie runtime

Testovanie runtime vyhodnocuje, či kontajnery bežia ako používateľ bez práv roota, či je zakázaný privilégiovaný režim, či je implementované odstraňovanie capabilities, či sú vynútené súborové systémy root len na čítanie a či limity zdrojov zabraňujú odmietnutiu služby (denial-of-service). Každé zbytočné privilégium predstavuje potenciálny únikový vektor.

Bezpečnosť registra

Testovanie vyhodnocuje riadenie prístupu do registra, politiky sťahovania obrazov (image pull policies), integráciu skenovania zraniteľností a to, či je možné nasadiť nepodpísané alebo neskenované obrazy do produkcie.

Únikové vektory kontajnerov

Testovanie skúma únikové vektory: privilégiované kontajnery, zdieľanie hostiteľského namespace, zapisovateľné pripojenia Docker socket, zneužitie zraniteľností jadra a nesprávne nakonfigurované profily seccomp/AppArmor. Únik z kontajnera je nález s najvyššou závažnosťou v oblasti bezpečnosti kontajnerov.

Testovanie s Penetrify

Testovanie bezpečnosti kontajnerov pomocou Penetrify pokrýva analýzu obrazov, konfiguráciu runtime, bezpečnosť registra a testovanie únikových vektorov – poskytuje kompletné posúdenie bezpečnosti kontajnerov, ktoré vyžadujú rámce pre dodržiavanie predpisov.

Záver

Kontajnery sú len také bezpečné, aká je ich konfigurácia. Zraniteľnosti obrazov, privilégiá runtime a únikové vektory vytvárajú riziká, ktoré tradičné metódy testovania prehliadajú. Penetrify testuje celý životný cyklus kontajnera.

Často kladené otázky

Aké bezpečnostné riziká kontajnerov by som mal testovať?Zraniteľnosti obrazov (CVE v základných obrazoch a závislostiach), chybné konfigurácie runtime (privilegovaný režim, používateľ root, pripojenia hostiteľa), riadenie prístupu do registra a únikové vektory kontajnerov. Stačí skenovanie kontajnerov?Nie. Skenovanie obrazov zachytáva známe CVE, ale prehliada nesprávne konfigurácie runtime, únikové vektory a slabé miesta na úrovni orchestrácie. Komplexné testovanie vyžaduje skenovanie aj manuálne posúdenie.

Frequently Asked Questions

Aké typy zraniteľností Penetrify detekuje?

Penetrify detekuje všetky kategórie zraniteľností OWASP Top 10 vrátane SQL injection, XSS, CSRF, IDOR, nefunkčnej autentifikácie, bezpečnostných miskonfigurácií a úniku citlivých dát. Testuje tiež bezpečnosť API, správu relácií a bežné miskonfigurácie v Supabase, Firebase a Bubble.

Ako dlho trvá AI penetračný test?

Rýchle skenovanie je dokončené za 15–30 minút. Štandardné skenovanie trvá 1–2 hodiny s širším pokrytím. Hĺbkové skenovanie môže trvať niekoľko hodín pre zložité aplikácie.

Čo obsahuje správa Penetrify?

Každá správa obsahuje executive summary, celkové bezpečnostné skóre, nálezy klasifikované podľa závažnosti (Kritické, Vysoké, Stredné, Nízke), podrobné kroky pre reprodukciu a konkrétne odporúčania pre nápravu napísané pre vývojárov – nie pre špecialistov na súlad.

Related articles

Testovanie bezpečnosti Kubernetes: Pentesting K8s klastrov, podov a workloadov
Kubernetes pridáva celú orchestračnú vrstvu útočnej plochy. Tu je návod, ako testovať RBAC, bezpečnosť podov, sieťové politiky, tajomstvá a vektory úniku z kontajnerov.
Služba nepretržitého monitorovania bezpečnosti: Sprievodca ochranou riadenou AI v roku 2026
Len v roku 2023 nahlásila databáza NIST National Vulnerability Database viac ako 29 000 nových CVE. To je takmer 80 nových potenciálnych hrozieb, ktoré sa objavujú každý deň. Dobre to poznáte. Absolvujete nákladný a časovo náročný Penetration Testing, dostanete potvrdenie, že je všetko v poriadku, a nasadzujete do produkcie. Ale vo chvíli, keď váš kód prejde…
Serverless Security Testing: Lambda, Functions a Cloud Run – zabezpečenie bez serverov
Serverless presúva zodpovednosť za bezpečnosť na konfiguráciu, IAM a logiku riadenú udalosťami. Ukážeme vám, ako testovať funkcie na zraniteľnosti, ktoré skenery nedokážu odhaliť, a zabezpečiť tak robustnejšiu ochranu.

Explore more