Комментарии 14
с написания Dockerfile с FROM node «по умолчанию». Однако при указании образа узла...
Узла :) Узел.йс?
30 уязвимостей лучше, чем 580 уязвимостей. Всего-то навсего 30 уязвимостей. Среди них всего-то навсего две remote code execution и всего три privilege escalation. Вполне разумный компромисс за возможность запускать чёрти что чёрти откуда и считать это продакшеном.
Можно запускать и от "несуществующего" пользователя, не надо танцев с adduser
и проч. Ядру всё едино.
# docker run -it 81b1865a1bf8
uid=1234 gid=4321 groups=4321
# cat Dockerfile
FROM debian
USER 1234:4321
CMD ["id"]
Не верю, это баг. И зачем гит в докере?
Так не верите, что не работает, или не работает, но это баг?
А git в контейнере часто нужен, от установки зависимостей до модного gitops. Я уж молчу про веб-морды к репозиториям.
Вы контейнер с виртуальной машиной не путаете? :) И сборка контейнера и его запуск это разные вещи. Тем не менее, если заморачиваться с такими толстыми контейнерами (а не один процесс — один контейнер), то, конечно, туда можно напихать и пользователей. Хотя, одной строки в /etc/passwd должно быть достаточно.
потом указывается юзер
Так же можно использовать vulners, у них есть скрипт который собирает все ваши системные зависимости и оповещает если появляется уязвимость под вашу версию
10 практических рекомендаций по безопасности образов Docker. Часть 1