Ich habe einige Zeit damit verbracht, den Docker-Hub bei hub.docker.com zu erkunden, und ich war entsetzt über eine Reihe von Schwachstellen in den offiziellen Bildern, die ich in meinem Projekt verwenden wollte.Warum gibt es so viele Docker-Images mit Sicherheitslücken?
Was jetzt (2/27/2017)
- Nginx: https://hub.docker.com/r/library/nginx/tags/ - keine Bilder ohne Schwachstellen
- Ubuntu: https://hub.docker.com/r/library/ubuntu/tags/ - keine Bilder ohne Schwachstellen
- MySql: https://hub.docker.com/r/library/mysql/tags/ - keine Bilder ohne Schwachstellen
- Redis: https://hub.docker.com/r/library/redis/tags/ - gleich
- Postgres: https://hub.docker.com/r/library/postgres/tags/ - gleiches
- Java: https://hub.docker.com/r/library/java/tags/ - gleiche
- Node.js: https://hub.docker.com/r/library/node/tags/ - nur 6 Bilder ohne bekannte Schwachstellen (I feel lucky sie zu finden)
Also, meine Fragen sein:
1) Was ist der Grund für solch eine enorme Menge an verwundbaren Bildern?
2) Wie kann man entscheiden, wann es sicher ist, solch ein gefährliches Bild (nach Docker Security Scanning) zu verwenden, oder ist es besser, auf offizielle Korrekturen zu warten?
Wichtiges Update: scheint so, als müssten Sie auf dem Docker Hub angemeldet sein, um die Meldung "Dieses Bild enthält Sicherheitslücken" zu sehen. Hier ist ein Screenshot für Nginx Repo:
Könnte eine gute Frage sein, aber nicht für diese Seite. Vielleicht versuchen http://security.stackexchange.com/ –
Dies ist zu breit, um beantwortet zu werden, aber meine Vermutung wäre, dass dies passiert, weil viele Bilder die gleichen Basisbilder als Ausgangspunkt verwenden, also wenn diese unter einer Anfälligkeit leiden ... – Salem