В последний месяц разработчики, использующие Trivy для сканирования контейнеров, столкнулись с серьёзной проблемой: при попытке загрузить базу данных уязвимостей из GitHub Container Registry (ghcr.io) возникает ошибка TOOMANYREQUESTS. Это связано с тем, что GitHub начал ограничивать количество подключений к своему реестру, что негативно сказывается на работе Trivy и создаёт дополнительные трудности для разработчиков.
Проблема с доступом к базе данных
GitHub начал ограничивать количество запросов к своей базе. Это значит, что если слишком много людей или программ пытаются одновременно получить доступ к базе данных уязвимостей для Trivy, которая хранится на GitHub, то они могут столкнуться с ошибкой TOOMANYREQUESTS:
Пример ошибки. Источник
Если разработчики не смогут получить доступ к базе данных уязвимостей, они не смогут проверить свои приложения на наличие потенциальных проблем. Это может привести к тому, что уязвимые приложения будут использоваться в продакшене, что может быть опасно.
На данный момент мейнтейнеры Trivy рекомендуют использовать сторонние container registry для скачивания базы данных.
Вытекающие проблемы
В результате «маленькие» разработчики могут столкнуться с серьёзными проблемами.
Многие небольшие команды и разработчики не имеют возможности создать собственный container registry для хранения базы данных уязвимостей. Для этого необходимо развернуть инфраструктуру, которая требует времени и ресурсов. В условиях ограниченного бюджета и небольших проектов такие затраты могут оказаться непосильными. Как следствие, многие разработчики вынуждены полагаться на общедоступные решения, которые не всегда могут обеспечить необходимую надёжность и доступность.
Максим Набоких, руководитель разработки Deckhouse Kubernetes Platform
Ситуация усугубляется тем, что разработчики начали создавать множество копий одной и той же базы данных уязвимостей.
Это может привести к тому, что база данных окажется разбросанной по различным реестрам без контроля её актуальности. В результате существует риск использования устаревших или небезопасных данных, что может поставить под угрозу безопасность приложений.
Максим Набоких, руководитель разработки Deckhouse Kubernetes Platform
P. S.
Читайте другие новости в нашем блоге:
Deckhouse Kubernetes Platform стала первой сертифицированной платформой контейнеризации в России
Перевели 20 новых определений из глоссария CNCF на русский
«Флант» получает 3 миллиарда рублей от Postgres Professional: новый этап в развитии Deckhouse
Источник: habr.com