Открыть список
Как стать автором
Обновить

Комментарии 9

Больше обновлений безопасности богу обновлений безопасности!
Всё так, только потом apt-get clean не забываем делать

Так зачем? Ну если я свой образ использую для своего проекта, все крутится внутри и не торчит наружу, зачем мне самому себе вставлять палки в колеса в виде нерелевантного кода (обновление не относится к прямым зависимостям моего приложения), невоспроизводимых билдов (ну если версии в apt-get install ещё можно запинить, то системные то не особо), увеличения размера образа? А все ради какой-то сомнительной "безопасности"

Если вы что-то через apt и ко ставите в докерфайле, то воспроизводимых билдов у вас и так нет, если версии не пините.

Аргумент вида "все равно ничего нет, давайте ещё больше неопределенности внесём, какая разница".

Аргумент вида "не стоит усложнять себе и другим жизнь из-за стремления к идеалу, которого знаешь как достичь, но полностью не собираешься"

Лично вам может и незачем, но статья то для всех, а среди всех совершенно точно есть проекты, смотрящие наружу, и там безопасность не так уж сомнительна
Что делать с тем что обновления увеличивают размер образа? Делать squash или свой базовый образ и обновлять все образы, по цепочке? Так получается весь мир хоть каждый день перестраивай.
многие «особые» пакеты из родительских образов не смогут обновиться внутри непривилегированного контейнера


Здесь имеется ввиду не запуск команд внутри контейнера из под root, а запуск самого контейнера с ключом --privileged, поэтому ваш совет

сначала установите обновления безопасности, а затем переключитесь на другого пользователя


не сработает.

К тому же стартовать контейнер и каждый раз стягивать обновления долго. Лучше держите образ с последними обновлениями, а еще лучше держите автоматизированный процесс который будет поддерживать обновления
Для устранения проблем безопасности можно воспользоваться
— Snyk вполне не плохо себя зарекомендовал
— Wazuh монстр для комплексной безопасности
— inspec так же вполне себе не плох
Ну и конечно pre-commit с хуками
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.