Добавить в корзинуПозвонить
Найти в Дзене
Флант
83 подписчика

GitHub ограничивает доступ к базе уязвимостей Trivy

23
1 мин
В последний месяц разработчики, использующие Trivy для сканирования контейнеров, столкнулись с серьёзной проблемой: при попытке загрузить базу данных уязвимостей из GitHub Container Registry (ghcr.io) возникает ошибка TOOMANYREQUESTS. Это связано с тем, что GitHub начал ограничивать количество подключений к своему реестру, что негативно сказывается на работе Trivy и создаёт дополнительные трудности для разработчиков. GitHub начал ограничивать количество запросов к своей базе. Это значит, что если слишком много людей или программ пытаются одновременно получить доступ к базе данных уязвимостей для Trivy, которая хранится на GitHub, то они могут столкнуться с ошибкой TOOMANYREQUESTS: Если разработчики не смогут получить доступ к базе данных уязвимостей, они не смогут проверить свои приложения на наличие потенциальных проблем. Это может привести к тому, что уязвимые приложения будут использоваться в продакшене, что может быть опасно. На данный момент мейнтейнеры Trivy рекомендуют использов
Оглавление

В последний месяц разработчики, использующие Trivy для сканирования контейнеров, столкнулись с серьёзной проблемой: при попытке загрузить базу данных уязвимостей из GitHub Container Registry (ghcr.io) возникает ошибка TOOMANYREQUESTS. Это связано с тем, что GitHub начал ограничивать количество подключений к своему реестру, что негативно сказывается на работе Trivy и создаёт дополнительные трудности для разработчиков.

Проблема с доступом к базе данных

GitHub начал ограничивать количество запросов к своей базе. Это значит, что если слишком много людей или программ пытаются одновременно получить доступ к базе данных уязвимостей для Trivy, которая хранится на GitHub, то они могут столкнуться с ошибкой TOOMANYREQUESTS:

Пример ошибки из isuue #389
Пример ошибки из isuue #389

Если разработчики не смогут получить доступ к базе данных уязвимостей, они не смогут проверить свои приложения на наличие потенциальных проблем. Это может привести к тому, что уязвимые приложения будут использоваться в продакшене, что может быть опасно.

На данный момент мейнтейнеры Trivy рекомендуют использовать сторонние container registry для скачивания базы данных.

Вытекающие проблемы

В результате «маленькие» разработчики могут столкнуться с серьёзными проблемами.

Многие небольшие команды и разработчики не имеют возможности создать собственный container registry для хранения базы данных уязвимостей. Для этого необходимо развернуть инфраструктуру, которая требует времени и ресурсов. В условиях ограниченного бюджета и небольших проектов такие затраты могут оказаться непосильными. Как следствие, многие разработчики вынуждены полагаться на общедоступные решения, которые не всегда могут обеспечить необходимую надёжность и доступность.
Максим Набоких, руководитель разработки Deckhouse Kubernetes Platform

Ситуация усугубляется тем, что разработчики начали создавать множество копий одной и той же базы данных уязвимостей.

Это может привести к тому, что база данных окажется разбросанной по различным реестрам без контроля её актуальности. В результате существует риск использования устаревших или небезопасных данных, что может поставить под угрозу безопасность приложений.
Максим Набоких, руководитель разработки Deckhouse Kubernetes Platform
Гаджеты и электроника
5,73 млн интересуются