我对dockerized app中的安全性有一些疑问:
我们如何管理docker容器的安全补丁?
每个容器是否有任何应用程序/服务列表安装包,是否有任何影响我们容器的0day?
答案 0 :(得分:0)
Docker Cloud和Docker Hub can perform security scans用于私有存储库中的映像。还有像Anchore这样的第三方服务可以做同样的事情。这些服务将扫描您的Docker镜像并告诉您安装了哪些软件包,任何CVE等等。
通常,您的容器应该具有运行应用程序所需的软件,而不是其他任何软件。总的来说,我建议首先关注减少容器图像的攻击面。然后,您可以使用图像扫描工具来处理剩下的任何内容。
此外,您应定期重建图像,因为上游标记会使用修补程序刷新。例如,如果您的图片扩展为wait_event_timeout,则应该在该标记通过修补程序更新时进行重建,或者定期进行重建。 Docker Hub和Anchore等工具也可以为您提供帮助。