如何处理docker容器中的安全更新?
我们希望避免在dockerfiile中包含“yum update”,因为它可以根据何时构建docker镜像生成不同的容器,但显然如果需要更新基本系统,这可能会带来一些安全问题.真正拥有组织范围的基本系统映像并更新的最佳选择是什么?问题在于,每次应用安全更新时,都需要在整个组织中重建和部署所有应用程序. 对我来说似乎有点不同的替代方法是简单地忽略容器内的安全更新,只关心它们在主机上.这里的思考过程是,对于攻击者进入容器,需要在主机上存在漏洞,docker-engine中的另一个漏洞才能进入容器,然后是另一个利用漏洞利用内容的漏洞.容器,这似乎是一系列令人难以置信的事件.随着用户命名空间和seccomp配置文件的引入,这似乎进一步降低了风险. 无论如何,我如何处理容器内的安全更新,对CI / CD管道的影响最小,或者理想情况下不必每隔一段时间重新部署整个基础架构? 最佳答案
您可以通过引入中间更新层来减少构建的不可重复性.
创建如下图像:
构建图像,标记并推送它.现在,除非您决定更改它们,否则您的构建不会更改. 您可以将其他Dockerfiles指向myimage:latest,以便在您决定执行此操作或指向特定版本时获得自动更新. 我设置CI系统的方式是,使用更新成功(手动)构建基础映像会触发构建依赖于它的任何图像. 报告安全问题?检查更新的软件包是否可用,或者在Dockerfile中进行临时修复.触发构建. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 我的VIM命令
- angularjs – heroku错误:ENOENT,stat’/app/build/index.
- twitter-bootstrap – 如何使用1170px宽度的bootstrap固定宽
- vim – 替换以特定模式开头的行的行尾
- [Angularjs]系列——学习与实践
- twitter-bootstrap – 引导按钮中的Google Material Icons对
- angularjs – 无法使量角器等待现有元素可点击(condition.e
- AngularJS:我怎么能得到$location.path模板
- Angular 2中的Import语句顺序
- AngularJS $location.path(‘/’)不清除search()参数