xaner Oct 31 2024 at 13:53

Улучшаем безопасность ваших CI/CD через Shared Docker executor и OPA-плагин

Easy

7 min

4.2K

Ozon Tech corporate blogIT-companiesDevOps * Information Security *

Case

✏️ Technotext 7

+74

Comments 9

Mexico1821 Oct 31 2024 at 14:34

Знаком с Пашей! Классно, что вклад в работу настолько заметен.
Спасибо Владимиру за приведенные примеры!

slonopotamus Oct 31 2024 at 18:46

Основная проблема Docker заключается в том, что он пробрасывает свой API socket в джобу

Эээ... Но ведь нет. И ложность этого утверждения умножает на ноль смысл всего последующего текста.

Но если всё-таки душа просит именно Docker...

... то может быть она это как-то аргументирует или пойдёт нафиг со своими запросами?

valery1707 Nov 1 2024 at 05:31

Но если всё-таки душа просит именно Docker...
... то может быть она это как-то аргументирует или пойдёт нафиг со своими запросами?

Мы планируем при сборке гонять тесты требующие подъёма зависимостей - для этого нужно чтобы каждый сборщик мог запустить свой набор контейнеров.

ugenk Nov 1 2024 at 06:51

А чем dind не подошел?

slonopotamus Nov 1 2024 at 07:15

dind - это обман. Контейнеры не могут быть вложенными из-за ограничений на уровне ядра.

slonopotamus Nov 1 2024 at 07:13

services?

Negativelink Nov 1 2024 at 08:35

Когда-то давно в моей практике был случай, когда небезопасный докер-контейнер в инфраструктуре привел к крупному взлому. Собственно, я занимался уже разбором последствий. Неправильно приготовленные контейнеры это опасность.

Хорошая статья.

ml_or_lm Nov 1 2024 at 11:48

Помню как года 3-4 назад для большинства это был темный лес с точки зрения безопасности.

romannik007 Nov 18 2024 at 14:41

Isolate containers with a user namespace не слышали?