Ontwikkelaars worstelen met containersecurity

In dit artikel:

BellSoft’s enquête onder 427 ontwikkelaars op Devoxx (oktober 2025) toont dat containerbeveiliging ondanks brede inzet van containers nog steeds een knelpunt is. Bijna 25% rapporteerde het afgelopen jaar een containergerelateerd beveiligingsincident. Het detecteren van kwetsbaarheden lukt meestal wel, maar het echte probleem ligt in de nasleep: fixes en patches worden vaak pas weken of maanden doorgevoerd, waardoor applicaties langere tijd met bekende risico’s blijven draaien.

Ontwikkelaars wijzen vooral op menselijke fouten, ingewikkelde patchprocessen en tijds- en middelengebrek als oorzaken. Scantools leveren bovendien veel meldingen die later onterecht blijken, wat leidt tot alert fatigue en vertraagde besluitvorming. Keuzes voor basisimages verergeren het probleem: meer dan de helft gebruikt algemene Linux-distributies en veel teams kiezen voor algemene JDK’s, waardoor onnodige pakketten het aanvalsoppervlak vergroten en extra monitoring en patching vereisen. Daardoor moeten securityteams bij elk nieuwe CVE beoordelen of die relevant is — ook als de applicatie het betreffende onderdeel niet gebruikt.

Hoewel ontwikkelaars security vaker als doorslaggevende factor noemen bij de keuze van een base image dan prestaties of gebruiksgemak, blijven de maatregelen vaak reactief (vertrouwen op bekende registries en scans). Bijna de helft prefereert daarom hardened images om een deel van de onderhouds- en beveiligingsverantwoordelijkheid bij de leverancier te leggen; dat kan de kans op menselijke fouten en operationele druk verminderen, maar succes blijft afhankelijk van interne processen. Opvallend is dat AI in deze enquête nauwelijks een rol speelde, wat aangeeft dat veel teams zich voorlopig op de basis van containerbeveiliging concentreren in plaats van op geavanceerde tooling.