AWS Copilot CLI 安全风险分析与改进指南

风险背景

AWS Copilot CLI 是一款用于简化容器化应用部署的工具，但在其最新版本 v1.34.0 中被发现存在一个需要关注的安全问题（CVE-2024-24790）。该问题源于工具默认生成的 buildspec.yml 文件会将 copilot-linux 二进制文件下载到当前工作目录，而该目录通常也是 Docker 镜像构建的上下文根目录。

风险影响

当用户使用默认配置构建 Docker 镜像时，COPY . . 指令会将 copilot-linux 二进制文件一并打包到镜像中。由于该二进制文件存在已知问题（CVE-2024-24790），所有基于 Copilot 构建的镜像都会被安全扫描工具（如 AWS Inspector）标记为需要注意，进而影响企业的合规性要求（如 SOC 2）。

技术分析

1. 问题根源

   • Copilot CLI 默认生成的 buildspec.yml 文件将二进制文件下载到构建上下文的根目录，而非临时目录或特定隔离路径。
   • Docker 构建时未自动排除该二进制文件，导致其被包含在最终镜像中。

2. 风险程度

   • CVE-2024-24790 是一个 CVSS 评分 9.8 的重要问题，可能被利用进行远程代码执行或其他高风险行为。
   • 由于镜像通常会被推送到 ECR 并部署到生产环境，问题的潜在影响范围较大。

改进方案

AWS 团队已发布改进版本 v1.34.1，主要优化包括：

1. 默认行为优化

   • 修改 buildspec.yml 模板，将 copilot-linux 下载到临时目录（如 /tmp），避免影响构建上下文。

2. 用户建议

   • 立即升级到 v1.34.1 或更高版本。
   • 检查现有镜像的构建流程，确保通过 .dockerignore 显式排除无关二进制文件。
   • 对已部署的镜像运行安全扫描，及时更新受影响的版本。

总结

此次事件凸显了工具链默认配置对安全性的关键影响。开发者在依赖自动化工具时，仍需关注其生成文件的细节，尤其是涉及文件路径和构建上下文的操作。AWS Copilot CLI 团队快速响应问题的态度值得肯定，但用户也应建立常态化的镜像扫描和依赖项更新机制，以降低类似风险。