我的 docker 镜像中有一个 go 二进制文件,它会导致 CVE 问题,例如 this,它指出:
使用 go 命令时,可能会在构建时执行任意代码 cgo。当在恶意模块上运行“go get”时,可能会发生这种情况,或者 运行任何其他构建不受信任代码的命令时。这是 可以由链接器标志触发,通过“#cgo LDFLAGS”指定 指示。包含嵌入空格的标志处理不当,导致 禁止通过 LDFLAGS 消毒走私旗帜 将它们包含在另一个标志的参数中。这仅影响 gccgo 编译器的使用。
我无法理解它如何影响 docker 镜像,以及如何摆脱它。
任何线索都将受到赞赏。
PS:有问题的二进制文件是 telegraf
问题 CVE-2023-29405 与已构建的映像无关,仅在构建期间相关。当 docker 文件中有预构建映像时,它是无关紧要的。
如何消除误报取决于谁发出警告。通常你可以把这样的东西关掉。