Ранее в двух моих любимых каналах Технологический Болт Генона и k8s (in)security были посты про отличные доклады про обфускацию контенеров. И вот наконец выложили свеженький доклад Enhancing Software Composition Analysis Resilience Against Container Image с KubeCon EU 2025. Последнее время тема обфускации и доверия инструментам сканирования всплывает все чаще и проблемы все еще актуальны:
- нет единого станадрата зависимостей SBOM (тут рекомендую еще глянуть книжку Software Transparency - Supply Chain Security in an Era of Software-Driven Society, недавно вышла в переводе: Прозрачное ПО. Безопасность цепочек поставок)
- сканеры видят не все и не справляются с обфускацией

Вот серия докладов на эту тему:
🟢2023 - Malicious Compliance: Reflections on Trusting Container...
Веселый и очень интересный доклад про то, как обмануть сканеры контейнеров. Срочная проверка, в образе куча уязвимостей, а комплаенс по инфобезу пройти надо. Править уязвимости долго и больно, да еще так чтоб не поломать. Решение очевидно - нужно обмануть сканеры уязвимостей))) Очень круто затронута проблема обфускации контейнеров и что с этим делать.

🟢2024 - Malicious Compliance Automated: When You Have 4000 Vulnerabilities and only 24 Hours Before Release
Не менее позитивный докладе, в продолжение темы, но уже используя Docker Slim, Mint, кстати с самим создатем этих инструментов

🟢2025 - Enhancing Software Composition Analysis Resilience Against Container Image
А тут рисеч инженеры подошли тотально, подготовили дата-сет с обфусцированными контейнерами, потестили как текущие популярные сканеры справляются с обфускацией и даже написали свой инструмент

🟢Кстати, я чуть упоминал про обфускацию на PHDays 2023 в докладе Руководство БДСМ (Бравого Докер Секурити Мастера), показывал, что в собранном в бинарь джава-сервисе "пропадают уязвимости") В этом году кстати буду на PHDays c докладом Руководство БДСМ:latest - там поглубже закопаемся в безопасность контейнеров, заскакивайте 😊