Un investigador de seguridad ha desarrollado LayerLeak, una nueva herramienta de código abierto diseñada para escanear imágenes de Docker Hub en busca de secretos expuestos. La herramienta, publicada en GitHub por Brumbelow, analiza las capas de la imagen, los metadatos de configuración y el historial de la imagen para identificar posibles vulnerabilidades, almacenando los hallazgos de forma deduplicada. A diferencia de los escáneres tradicionales, LayerLeak se centra en los internos de las imágenes OCI, no requiere un daemon de Docker local y se limita a imágenes públicas de Docker Hub, realizando un escaneo de solo lectura sin verificación de secretos.
LayerLeak es capaz de analizar el sistema de archivos final, los artefactos de capas eliminadas, los metadatos de configuración de la imagen, las variables de entorno, las etiquetas y el historial. La herramienta prioriza la eficiencia al eliminar hallazgos duplicados y colapsar fragmentos de contexto repetidos. Los usuarios pueden configurar varios parámetros, incluyendo directorios de resultados, límites de tamaño y conexiones a bases de datos PostgreSQL para persistencia. Es importante destacar que la persistencia en PostgreSQL almacena los valores de los hallazgos sin editar, por lo que se recomienda utilizar una base de datos dedicada para mayor seguridad.