Безопасный Docker в продакшене

[difhel]

Последнее, что мы исправим, — использовать COPY вместо ADD. Оба почти одинаковы, но COPY более точный. 

Дело в не том, что он "более точный". ADD содержит магию - возможность добавлять в образ файлы по URL и разархивировать tar архивы, что может привести к неожиданному поведению. Поэтому рекомендуют, если возможно, использовать COPY.

https://stackoverflow.com/questions/24958140/what-is-the-difference-between-the-copy-and-add-commands-in-a-dockerfile

[amarkevich]

оригинал статьи 2019 года, поэтому стоило бы оставить замечание о базовом образе "openjdk:10-jdk": DEPRECATION NOTICE

HEALTHCHECK в современном контейнерном окружении не нужен, т.к. выполняется извне

COPY ${JAR_FILE} app.jarрекомендую посмотреть в сторону thin jar, когда есть более гибкая возможность контроля зависимостей и убирается слой Spring для работы с fat jar

[VenbergV]

Ретроспектива технологий былых времен хороша. Но для актуализации безопасности, на reddit и в других сообществах интересуются, когда docker научится работать с nftables? Ибо iptables повсеместно уходит в deprecated с 2021 года.

[exception_prototype]

Интересно, что скажет этот инструмент на собранные образы с помощью buildpacks? gradle bootBuildImage