DockSec: Công cụ mã nguồn mở ứng dụng AI để lọc bỏ "tiếng ồn" và khắc phục lỗ hổng trong Docker Images

DockSec là một công cụ bảo mật mã nguồn mở được ra đời từ sự thất vọng của Advait Patel, người đã phát triển nó để giải quyết một vấn đề nan giải trong cộng đồng DevOps hiện nay.

Sự thất vọng này xuất phát từ việc nhận thức rằng, mặc dù trí tuệ nhân tạo (AI) rất giỏi trong việc tìm kiếm lỗ hổng, nhưng lại khá yếu kém trong việc giải thích cách khắc phục chúng. "Vào một ngày điển hình, tôi quét một container image và nhận lại hơn 200 CVE. Phần lớn trong số đó chỉ là 'tiếng ồn' (thông tin thừa), một vài cái là thật, nhưng không có cách nào dễ dàng để nói với nhà phát triển rằng 'hãy sửa ba dòng này và bạn sẽ an toàn'. Các công cụ bảo mật rất giỏi tìm vấn đề nhưng lại tồi trong việc giúp mọi người sửa chữa chúng", Patel chia sẻ.

AI应用于安全分析

Có lẽ do khó khăn trong việc khắc phục các lỗ hổng đã biết kịp thời, các phần mềm image vẫn đang được đưa vào Docker mà chứa đựng nhiều lỗ hổng chưa được sửa. "Tôi đã quét 15 hình ảnh và tìm thấy 183 lỗ hổng được đánh giá là mức độ nghiêm trọng cao và thêm 15 cái được đánh giá là mức độ nghiêm trọng", Patel tiếp tục. "Ví dụ điển hình là HashiCorp Vault – một công cụ được xây dựng riêng để bảo mật bí mật – lại được vận hành với 40 lỗ hổng trong chính image của nó."

Mối đe dọa ở đây là khi các lỗ hổng nằm gọn trong các image này, chúng có thể tự động được Docker chạy và thậm chí được đưa vào trong quy trình CI/CD (tích hợp liên tục và triển khai liên tục). Đây là mối đe dọa mà Patel đã tự đặt ra để giải quyết bằng cách phát triển một công cụ mã nguồn mở có tên DockSec (gần đây được OWASP đưa vào danh mục dự án chính thức của họ).

Vai trò của AI trong việc khắc phục lỗ hổng

Khó khăn không nằm ở việc tìm ra lỗ hổng, mà nằm ở việc giúp các nhà phát triển sửa chúng. DockSec không bao gồm bất kỳ trình quét lỗ hổng mới nào, mà đơn giản là chạy Trivy, Hadolint và Docker Scout cục bộ trên máy của người dùng. Sau đó, tính năng mới sẽ xuất hiện: một Mô hình Ngôn ngữ Lớn (LLM) sẽ tương quan các phát hiện từ cả ba công cụ trên để loại bỏ trùng lặp và xếp hạng theo tác động thực tế.

Quá trình quét hoàn toàn được thực hiện tại chỗ (local), và chỉ có siêu dữ liệu của kết quả quét được gửi đến LLM – chứ không bao gồm nội dung của image.

Mọi thứ đều được thực thi cục bộ. LLM được sử dụng có thể được chọn từ OpenAI, Anthropic và Google Gemini, hoặc chạy cục bộ thông qua Ollama. Chức năng của nó là tạo ra các giải thích bằng tiếng Anh đơn giản và các bản vá Dockerfile chính xác được cung cấp dưới dạng Markdown – ngôn ngữ chung của các nhà phát triển. DockSec lấp đầy khoảng trống giữa việc phát hiện lỗ hổng và việc khắc phục lỗ hổng.

Sự phát triển dưới sự bảo trợ của OWASP

Patel là kiến trúc sư và nhà phát triển chính của DockSec. Nhưng bản thân dự án đã phát triển vượt xa khỏi một cá nhân. "Sự công nhận và chấp nhận của OWASP như một dự án lò ẩm (incubator) là một bước ngoặt", ông giải thích. "Trước đó, đó là một dự án cá nhân mà mọi người tìm thấy thông qua GitHub. Sau OWASP, các nhóm doanh nghiệp bắt đầu coi trọng nó hơn vì giờ đây nó nằm trong một hệ sinh thái đáng tin cậy và đã được kiểm duyệt. Các đóng góp cũng tăng lên, nhiều pull request hơn, chất lượng issue tốt hơn, và những người làm bảo mật bắt đầu đề xuất tính năng thay vì chỉ báo lỗi. Cùng với OWASP đi kèm một trách nhiệm là giữ cho nó luôn mở, trung lập với nhà cung cấp và hữu ích cho cộng đồng trước tiên. Đó là một ràng buộc tốt để thiết kế".

SecurityWeek Logo

Hiện tại, dự án là mã nguồn mở do cộng đồng thúc đẩy, với Patel đứng đầu. Số lượt tải xuống đang tiến tới 18.000, và pull requests đạt mức 90. Đây là một ví dụ về tính tinh khiết của sự phát triển mã nguồn mở. Patel đã nghĩ ra và tạo ra nó trong thời gian rảnh rỗi của chính mình. Nó miễn phí để tải xuống và sử dụng; và ông không kiếm được tiền từ nó.

Một phương pháp luận có thể mở rộng

Tuy nhiên, đây không chỉ là một dự án đơn lẻ. Nó là một phương pháp thiết kế có thể được điều chỉnh cho các lĩnh vực khác, nơi AI tìm ra vấn đề nhưng không giúp ích trong việc khắc phục.

"DockSec chắc chắn có thể thích ứng. Nó không chỉ là một trình quét bảo mật quét mã của bạn, quét kiến trúc và quét cơ sở hạ tầng của bạn. Nó là một cầu nối giữa việc tìm thấy và sửa chữa. Chúng ta có hàng tấn công cụ trên thị trường hoạt động như một máy quét, một công cụ sẽ phát hiện các khoảng trống; nhưng rất ít công cụ sẽ dẫn bạn đến phần khắc phục, sửa chữa khoảng trống đó", Patel giải thích.

"DockSec là một trong số đó. Nếu mọi người, hoặc ngành công nghiệp, hoặc một công ty muốn thích ứng DockSec vào tự động hóa SOC của họ, họ chắc chắn có thể làm điều đó. Sử dụng các phát hiện từ trình quét của họ, phương pháp luận DockSec có thể được sử dụng để sửa chữa các phát hiện đó một cách kịp thời."