Containerbeveiliging blijft voor veel ontwikkelaars een hardnekkig probleem, ondanks het feit dat containers inmiddels tot de standaardgereedschappen van moderne softwareontwikkeling behoren.
Dat blijkt uit een enquête van BellSoft onder 427 ontwikkelaars die in oktober 2025 aanwezig waren op Devoxx. De resultaten laten zien dat teams beveiliging belangrijk vinden, maar worstelen met de uitvoering.
Bijna een kwart van de ondervraagden geeft aan het afgelopen jaar te maken te hebben gehad met een containergerelateerd beveiligingsincident. Het knelpunt zit daarbij zelden in het opsporen van kwetsbaarheden, maar vooral in wat daarna gebeurt. Tussen het bekend worden van een probleem en het daadwerkelijk doorvoeren van een oplossing kunnen weken of maanden zitten. In die periode blijven applicaties draaien met bekende risico’s, wat organisaties kwetsbaar maakt, meldt The Register.
Ontwikkelaars wijzen vooral naar menselijke fouten als belangrijkste oorzaak van problemen met containerbeveiliging. Ook patchprocessen spelen een grote rol. Updates zijn vaak complex om door te voeren en patches laten soms op zich wachten. Scantools helpen niet altijd, doordat ze regelmatig meldingen opleveren die achteraf onterecht blijken. In combinatie met beperkte tijd, schaarse middelen en een lage organisatorische prioriteit ontstaat zo een structureel probleem.
Veel algemene Linux-distributies
Ook de keuzes rond containerimages vergroten het risico. Meer dan de helft van de ondervraagden gebruikt algemene Linux-distributies als basis, terwijl veel teams daarnaast kiezen voor JDK’s voor algemeen gebruik. Zulke images bevatten vaak aanzienlijk meer pakketten dan nodig is voor de applicatie. Elk extra onderdeel vergroot het aanvalsoppervlak en vraagt om monitoring en patching. Volgens The Register moeten securityteams daardoor bij elke nieuwe kwetsbaarheid nagaan of deze relevant is, zelfs wanneer de applicatie het betreffende pakket niet gebruikt.
Bij de selectie van een basisimage speelt beveiliging wel degelijk een centrale rol. Ontwikkelaars noemen security vaker als doorslaggevende factor dan prestaties, imagegrootte of gebruiksgemak. Die intentie vertaalt zich echter niet altijd naar effectieve maatregelen. Veel organisaties vertrouwen vooral op bekende containerregistries en kwetsbaarheidsscans. Daarmee reageren ze vooral op incidenten, in plaats van de blootstelling vooraf te beperken.
Dat verklaart waarom bijna de helft van de ontwikkelaars liever gebruikmaakt van hardened container images. Door een deel van de verantwoordelijkheid voor beveiliging en onderhoud bij de leverancier te leggen, hopen teams het risico op menselijke fouten te verkleinen en de operationele druk te verlagen. BellSoft stelt dat dit kan bijdragen aan stabielere en beter beheersbare containeromgevingen, al blijft dat afhankelijk van de interne processen.
Opvallend is tot slot dat kunstmatige intelligentie in deze enquête nauwelijks een rol speelde, terwijl eerdere onderzoeken nog aantoonden dat veel ontwikkelaars AI inzetten bij het schrijven van code. De focus lag duidelijk op de basis van containerbeveiliging, en juist daar blijkt de kloof tussen ambities en praktijk nog steeds groot.