为什么有这么多的码头图像存在漏洞？

Question

我花了一些时间在hub.docker.com上探索docker hub，我对我想在我的项目中使用的官方图像中的一些漏洞感到震惊。

至于现在（2017年2月27日）

• Nginx的：https://hub.docker.com/r/library/nginx/tags/ - 无图像 无漏洞
• Ubuntu的：https://hub.docker.com/r/library/ubuntu/tags/ - 无图像 无漏洞
• MySQL的：https://hub.docker.com/r/library/mysql/tags/ - 没有图像无 漏洞
• Redis：https://hub.docker.com/r/library/redis/tags/ - 相同
• 个Postgres的：https://hub.docker.com/r/library/postgres/tags/ - 同
• 的Java：https://hub.docker.com/r/library/java/tags/ - 同
• 的Node.js：https://hub.docker.com/r/library/node/tags/ - 只有6个没有已知的漏洞图像（我觉得很幸运找到他们）

所以，我的问题是：

1）如此巨大的易受攻击的图像的原因是什么？

2）如何决定何时可以安全地使用这种易受攻击的（根据Docker Security Scanning）映像，还是等待正式修复更好？

重要更新：似乎你需要在Docker Hub上登录才能看到“此映像有漏洞”消息。下面是Nginx的回购截图：

Answer 1

根据https://docs.docker.com/docker-cloud/builds/image-scan/

扫描的SHA比较反对通用漏洞披露（CVE®）数据库

每个组件的这意味着这些漏洞可能不在图像本身中，而是在组件上（例如已知的OpenJDK漏洞）。可能是组件的版本较旧，尚未更新，或者该漏洞是已知的，但尚未在最新版本中修复。

但是，您很可能不会使用具有漏洞的功能。可能最好的想法是在开发时检查您正在使用的组件中的已知漏洞，并确保您没有使用任何具有未修补漏洞的功能。