我刚刚开始使用Docker,我发现docker hub repository上有很多可用的图片。似乎设置新的docker容器的正常方法是复制其中一个图像并从那里开始。但是,我如何知道这些容器中没有恶意代码,或者他们不会以其他方式损害我的安全性?
例如,但我怎么知道容器中的操作系统不是(例如)捕获键盘,如果我ssh到它,或者为了其他目的而劫持系统资源?
答案 0 :(得分:2)
标记为"受信任的构建"由Docker在其服务器上根据用户提供的来源构建。您可以轻松地检查构建映像的Dockerfile,以检查恶意代码。
你也有官方的#39; Docker正式支持的图片(那些不以' somthing /'开头的图片)。如果您信任Docker,inc,您可以信任这些图像。
对于第三部分图像,不是来自受信任的构建而不是来自Docker,那么您可以使用docker history <image>
(在拉动它之后)检查历史记录以查看它是如何构建的,但常识适用。它不可信任。
Docker工作起源,所以我们很快就会看到CA证书检查和原产地证明。在此之前,请注意,只使用您检查的可信构建或官方图像。