1
这个问题在我的脑海里浮现了很多次,我只是希望每个人都可以在他们的想法上一致。 我首先想到的是容器不是虚拟机,而且几乎等同于在主机实例中独立运行的进程。那么为什么我们需要不断更新我们的Docker镜像和安全更新?如果我们已经采取了足够的步骤来确保主机实例的安全,那么码头容器应该是安全的。即使我们从多层安全的不同方向考虑,如果码头主机受到攻击,那么也无法阻止黑客访问主机上运行的所有容器;不管你在docker镜像上做了多少安全更新。 有没有任何人可以共享的地方,哪里有Docker镜像的安全更新真的有帮助? 现在我明白如果有人想更新在容器中运行的Apache,但是有没有理由对图像执行操作系统级别的安全更新?我们是否真的需要Docker镜像上的安全更新
你的观点1是关于在容器中运行的应用程序应该照顾的应用程序级别的安全性,因此看起来没有任何与容器映像相关的安全更新有关。关于第2点:这正是我的观点,但是由于场景中的所有内容都是在主机实例级别或通过docker守护进程处理的。目前似乎还没有任何情况,为什么我们应该定期更新Docker容器映像。 – Max
对于第1点,您的应用程序很可能使用基本映像提供的功能。例如图像文件解码或URL解析。这些是以前被利用过的东西,为了防止这种情况发生,您需要通过更新的基本映像来获取相关的安全补丁。当你的基本映像像'java'或'wordpress'时,这个范围更广。 – Thilo
对,所以我们正在讨论容器在运行应用程序时使用的图像中的pkgs(例如,wordpress)。我同意你给出的例子是合理的。更新内核更新对我来说没有意义,有什么想法? – Max