кто отвечает за это в случае, когда ключевые компоненты и библиотеки попросту суются внутрь контейнеров?
Те же сисадмины/безопасники должны бить по рукам за FROM ubuntu:latest, хотите сесурити — делайте свой Docker registry с защищенными тегами для прода и около + читать что вы там деплоите.
то, что контейнеры должны бы собираться послойно разработчики знать не хотят. Я прав?
В моём маленьком свечном заводе со слоями иногда даже перебарщивают. Тут важно объяснять зачем и как это делать.
А как планируется бороться с тем, что террористы дышат воздухом?
Бороться надо с проблемой, а не с медиа, в процессе изготовления которых жертв и разрушений нет (этим отличается данная тема от детской порнографии).
netstat вместе со всем бандлом net-tools уже лет 6 как deprecated. В Debian Buster из широко используемого софта от него зависят только установщик Openstack, Bind и Cloud-init.
Фигня какая-то в том, что к этим данным доступа по-умолчанию быть не должно.
Внешний IP может оказаться в Северной Корее. А запросы не туда могут быть прекрасно срезаны firewall-ом.
Месяц назад например нашли дырень (публикация, CVE хоть и присвоен, но Гугль пока не публикует). Как могли бы помочь network namespaces: приложения не видят интерфейсов кроме тех, что там есть, никаких реальных IP и тем более MAC-адресов/SSID не узнать.
Те же сисадмины/безопасники должны бить по рукам за
FROM ubuntu:latest
, хотите сесурити — делайте свой Docker registry с защищенными тегами для прода и около + читать что вы там деплоите.В моём маленьком свечном заводе со слоями иногда даже перебарщивают. Тут важно объяснять зачем и как это делать.
NB: информация там не везде точная.
Гены фармой ещё править не научились.
Бороться надо с проблемой, а не с медиа, в процессе изготовления которых жертв и разрушений нет (этим отличается данная тема от детской порнографии).
Внешний IP может оказаться в Северной Корее. А запросы не туда могут быть прекрасно срезаны firewall-ом.