Docker使用非官方映像的安全问题 [英] Docker security concerns using unofficial images

问题描述

如何确保docker容器将是安全的，尤其是在使用第三方容器或基本映像时？

How to ensure, that docker container will be secure, especially when using third party containers or base images?

1. 是否正确，当使用基本映像时，它可能会启动任何服务或在主机内挂载主机文件系统的任意分区，并可能发送对攻击者敏感的数据？


2. 因此，如果我使用第三方容器（Dockerfile证明该容器是安全的），则应遍历基础映像的整个链接列表（可能很长），以确保该容器实际上是安全的它打算做什么？

如何以系统且确定的方式确保Docker容器的可信赖性？

How to ensure the trustworthy of docker container in a systematic and definite way?

推荐答案

考虑类似于android / iOS移动应用程序的Docker映像。您永远不确定它们是否安全运行，但是如果来自Google Play或App Store等官方来源，则安全运行的可能性就更高。
更具体地说，来自Docker集线器的Docker映像会经过安全扫描，而有关细节尚未披露。因此，从Docker集线器中提取恶意映像的机会很少。
但是，对于安全性，永远都不能过于妄想。有两种方法可以确保来自任何来源的所有映像都是安全的：

Consider Docker images similar to android/iOS mobile apps. You are never quite sure if they are safe to run, but the probability of it being safe is higher when it's from an official source such as Google play or App Store. More concretely Docker images coming from Docker hub go through security scans details of which are undisclosed as yet. So chances of a malicious image pulled from Docker hub are rare. However, one can never be paranoid enough when it comes to security. There are two ways to make sure all images coming from any source are secure:

1. 主动安全性：对每个对应的Dockerfile进行安全源代码审查到Docker映像，包括您已经在问题中表达过的基本映像


2. 反应性安全性：运行Docker Bench，由Docker Inc.开源，作为特权容器运行，以查找已知的恶意运行时。集装箱活动。

总而言之，只要有可能，请使用Docker Hub中的Docker映像。执行 DockerFiles 的安全代码检查。运行Docker Bench或任何其他可捕获容器执行的恶意活动的等效工具。

In summary, whenever possible use Docker images from Docker hub. Perform security code reviews of DockerFiles. Run Docker bench or any other equivalent tool that can catch malicious activities performed by containers.

参考：

1. 以前的Docker安全扫描被称为Nautilus项目： https://blog.docker.com/2016/05 / docker-security-scanning /


2. Docker板凳： https://github.com/docker/docker-bench-security


3. Dockerfile的最佳做法： https://docs.docker.com/engine/userguide/eng-image/dockerfile_best-practices/

1. Docker security scanning formerly known as Project Nautilus: https://blog.docker.com/2016/05/docker-security-scanning/
2. Docker bench: https://github.com/docker/docker-bench-security
3. Best practices for Dockerfile: https://docs.docker.com/engine/userguide/eng-image/dockerfile_best-practices/

这篇关于Docker使用非官方映像的安全问题的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！