构建第 3 方 Docker 镜像不安全吗?

问题描述 投票:0回答:1

假设:

  • 第 3 方提供了 
    Dockerfile
    ,我不予审查
  • 我在我的基础设施上构建 Docker 镜像(
    docker build
    或类似的)
  • 构建有时间限制(例如最多 5 分钟)

这对我的基础设施/机器来说不安全吗?

如果是这样,为什么?

对于更多上下文,这就像一个 CI 系统,我在我的基础设施上构建客户的 Docker 映像。

docker security docker-build
1个回答
0
投票

一般来说,在不知道要使用的工具的情况下,如果不检查 Dockerfile,它可能是不安全的。

但是...

  1. 您可以采用广泛流行的软件和工具,即使您不检查其内部结构,它们也会在多种环境中广泛传播和使用,并且众所周知是安全的

  2. 您可以轻松查看许多在线可用的 Dockerfile,例如来自 Docker Hub,因为它们表明:

  • 组成 Dockerfile 的层
  • 连接到 Docker 镜像的公共存储库 所以,即使你不写 Docekrfile,你也可以看到 Docker 镜像的详细信息和
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.