S0110中等

容器映像漏洞未修補

部署

風險描述

AI 模型服務使用的 Docker 映像包含已知安全漏洞的 OS 層或依賴套件。AI 團隊通常使用包含 CUDA、cuDNN、PyTorch 的大型映像(>10GB),這些映像的更新週期長,可能包含數十個已知 CVE。在沒有定期掃描和更新機制的情況下,漏洞視窗可能長達數月。

框架對照

iso 23894R2
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • 容器映像安全掃描
  • 最小化映像策略

處理步驟

  1. 在 CI/CD pipeline 中整合容器映像掃描工具(Trivy、Snyk)
  2. 採用最小化基礎映像(如 distroless)減少攻擊面
  3. 建立映像更新的 SLA(高危漏洞 7 天內修補)
  4. 使用固定版本標籤而非 :latest,確保部署可重現