10 практических рекомендаций по безопасности образов Docker. Часть 1

[ip1981]

с написания Dockerfile с FROM node «по умолчанию». Однако при указании образа узла...

Узла :) Узел.йс?

[amarao]

30 уязвимостей лучше, чем 580 уязвимостей. Всего-то навсего 30 уязвимостей. Среди них всего-то навсего две remote code execution и всего три privilege escalation. Вполне разумный компромисс за возможность запускать чёрти что чёрти откуда и считать это продакшеном.

[VolCh]

Всё-таки компромисс между простой и удобной возможностью запустить то, что надо, и безопасностью.

[ip1981]

Можно запускать и от "несуществующего" пользователя, не надо танцев с adduser и проч. Ядру всё едино.

# docker run -it 81b1865a1bf8
uid=1234 gid=4321 groups=4321

# cat Dockerfile
FROM debian
USER 1234:4321
CMD ["id"]

[ip1981]

Не верю, это баг. И зачем гит в докере?

[TheGodfather]

В смысле «зачем»? Например, чтобы сделать git clone для зависимостей, указанных в моем Cmake-файле.

[VolCh]

Так не верите, что не работает, или не работает, но это баг?

А git в контейнере часто нужен, от установки зависимостей до модного gitops. Я уж молчу про веб-морды к репозиториям.

[ip1981]

Вы контейнер с виртуальной машиной не путаете? :) И сборка контейнера и его запуск это разные вещи. Тем не менее, если заморачиваться с такими толстыми контейнерами (а не один процесс — один контейнер), то, конечно, туда можно напихать и пользователей. Хотя, одной строки в /etc/passwd должно быть достаточно.

[turbotankist]

под рутом(но только в контейнере при его сборке) устанавливаются зависимости (и гитом тоже)
потом указывается юзер

[TheGodfather]

Заголовок «10...». Статья заканчивается на четвертом пункте. ЧЯДНТ? Так сложно нынче перевести не самый сложный текст на простом английском?

[Sjam]

В статье приглашение на вебинар который пройдет «скоро», на сайте 22 июля… Вот и как понимать это скоро?

[marataziat]

Так же можно использовать vulners, у них есть скрипт который собирает все ваши системные зависимости и оповещает если появляется уязвимость под вашу версию