Безопасная сборка Docker-образов в CI: пошаговая инструкция

[Lainhard]

Тоже как-то задумывался об этом вопросе: а что если разработчик злодей? Пришел к варианту gitlab custom executor + qemu.

virtiofs - что бы расшарить папку в гостя

qemu-guest-agent - для запуска комманд (получение вывода, мониторинга состояния и вот это вот всё)

А учитывая что у нас есть снапшоты, то старт и вовсе не сильно (на самом деле сильно, но кто заметит?) медленнее того же docker executor.

Где-то даже прототип валялся, который я обещал себе доделать.

[Ailysom]

Идея "богатая", во всех смыслах.

Звучит круто, но есть ощущение, что очень дорого.
Как со стороны времени запуска, так и со стороны оверхеда по ресурсам.
Плюс после Вас это же еще кто-то поддерживать будет.

[Lainhard]

Нет, время запуска небольшое (снапшоты, помним?), а вот ресурсы да - стандартный оверхед в виде целого ядра и виртуализации.

[nefrit0n]

Спасибо, сохраню вашу статью чтобы использовать когда стану DevSecOps специалистом.

[Chupaka]

Тут нам на помощь приходит Kaniko — инструмент по сборке контейнеров

Какая-то грустнявочка подъехала: https://github.com/GoogleContainerTools/kaniko

This project is archived and no longer developed or maintained.

[Ailysom]

Эх... До последнего верил, что проект подхватят, учитывая популярность.

Спасибо! Поправил.