對于軟件團隊而言，容器安全漏洞已成為一種常態，而那些本應用于保護它們的工具反而可能使問題更加嚴重。這是BellSoft開展的一項新調查得出的主要結論。該調查顯示，近四分之一的開發者已經遭遇過與容器相關的安全事件，而許多組織仍在繼續采用那些會擴大攻擊面而非減少攻擊面的做法。

這項針對427名開發者的調查發現，有23%的開發者遇到過容器安全漏洞。BellSoft指出，最危險的階段通常出現在漏洞被公開但尚未得到修復之前，在這段時間內，受損系統仍會在生產環境中繼續運行。盡管過去十年中容器平臺取得了顯著進步，但這項研究表明，人們對于安全防護的基本原理仍然了解不足，而且在實際應用中也存在不一致的情況。

超過一半的受訪者（55%）表示，他們使用的都是像Ubuntu、Debian或Red Hat這樣的通用Linux發行版，而這些發行版所包含的基礎鏡像中往往有數百個未被使用的軟件包。每一個這些未使用的軟件包都可能構成安全漏洞，因此必須對其進行跟蹤、評估并打上補丁——無論這些軟件包在應用程序的實際運行過程中是否會被使用到。當安全隱患被發現時，安全團隊就必須協調數千個容器的修復工作，即使這些風險在很大程度上只是理論上的。

盡管面臨這些挑戰，開發者們似乎已經認識到了更好的解決辦法。近48%的受訪者認為，預先經過加固、以安全為首要目標的基礎鏡像才是提升容器安全性的最有效方法。這樣的鏡像會默認移除不必要的工具和軟件包，從而減少漏洞風險，并將后續的維護和補丁工作交給專業的供應商來處理。

“在這項調查的每一個環節中，都有一個核心信息反復出現：各團隊都希望獲得安全性、高效性以及簡潔性，但現有的策略和工具使得這些目標的實現變得十分困難，”BellSoft的首席執行官亞歷克斯·貝洛克里洛夫說道。“通過使用經過加固處理的容器鏡像，大部分與安全維護相關的工作責任就會轉移到鏡像供應商身上，這樣一來既能減輕運營負擔、降低總體擁有成本，又能讓容器環境更加穩定、更易于維護，同時具備更高的安全性。”

BellSoft的研究結果表明，隨著容器技術的持續普及，各組織不僅需要重新思考如何檢測漏洞，還需要重新設計容器的基礎設施架構，從以往的被動補丁機制轉向主動防護、簡化配置且經過加固處理的運行環境。