文章总结： 文章解读了RAID2025关于Docker容器远程依赖安全的研究。通过分析20万个镜像，发现大量容器非自包含，运行时会从网络拉取组件并存在HTTP等不安全通信。研究构建DockerGYM系统量化了该风险，揭示了潜在的供应链安全隐患，建议关注容器运行时网络行为并提供了检测工具代码。 综合评分： 75 文章分类： 供应链安全,云安全,安全工具

G.O.S.S.I.P 阅读推荐 2025-12-29 舶来之物与Docker安全

原创

G.O.S.S.I.P

安全研究GoSSIP

2025年12月29日 20:23 上海

计算机发展太快，有时我们会感叹现在大家对计算资源和存储资源的浪费简直需要另一个“光盘行动”来治理一下，而docker这个快速打包和部署各种服务的容器化服务就是浪费界的翘楚。不过研究人员注意到“Docker images are not always self-contained”，也就是说很多容器的image里面并没有包含所需要运行的服务的完整组件，这看起来似乎很矛盾：一方面它导致了一个容器没法即插即用，另一方面倒也是节约了一些资源。现在问题来了，如果这些image在运行后再去网络上拉取相关需要的内容，那会不会引发安全问题呢？请看RAID 2025研究论文Uncontained Danger: Quantifying Remote Dependencies in Containerized Applications

这篇论文其实比较枯燥，没有什么特别新奇的结论，总体来说就是先用爬虫去收集了20万个docker image，然后想办法把这些image启动起来（想都不用想，2025年的套路就是用AI去写启动脚本），然后观察这些image的网络行为，抓到可能的不安全数据连接：

吐槽一下现在论文画图都这么随意了吗，还是说用严肃的字体就是老登？

作者设计了名为DockerGYM的分析系统，DockerGYM把容器的启动分为两类：平凡的启动（Vanilla Run）和智慧的启动（LLM-assisted Run），在启动之后，用nmap去扫描相关的网络端口，而且如果涉及到web服务，还要启动一个Firefox实例去尝试连接之。当然这些手段都只是想办法去触发整个image里面可能包含的组件下载行为，然后观察看看有没有不安全的流量（例如HTTP）。

于是整篇论文就变成了比较无聊的实验观察和数据统计，下表统计了所有image在运行后的一些基本的网络活动概况：

这些image访问最多的域名（根据DNS流量统计得出）包括：

然后就是关于（不）安全的部分，主要就是看有没有HTTP流量：

以及HTTP访问了哪些资源：

当然，实验里面还有一些细节，比如说HTTPS可被重定向到HTTP的问题、TLS版本低/证书检查不严格等问题，都是比较平凡的问题，也没有什么比较吸引眼球的case study，大家随意看看就好。

关于论文的artifacts，代码看起来朴实无华，如果是用作实验复现其实还蛮不错的！

https://github.com/uncontained-danger/artifacts

论文：https://securitee.org/files/dockergym_raid2025.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2025-12-29 舶来之物与Docker安全》