容器映像漏洞未修補
Deployment
Risk Description English translation pending
AI 模型服務使用的 Docker 映像包含已知安全漏洞的 OS 層或依賴套件。AI 團隊通常使用包含 CUDA、cuDNN、PyTorch 的大型映像(>10GB),這些映像的更新週期長,可能包含數十個已知 CVE。在沒有定期掃描和更新機制的情況下,漏洞視窗可能長達數月。
Framework Mappings
iso 23894R2
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)
Controls English translation pending
- 容器映像安全掃描
- 最小化映像策略
Implementation Steps English translation pending
- 在 CI/CD pipeline 中整合容器映像掃描工具(Trivy、Snyk)
- 採用最小化基礎映像(如 distroless)減少攻擊面
- 建立映像更新的 SLA(高危漏洞 7 天內修補)
- 使用固定版本標籤而非 :latest,確保部署可重現