OpenForum RSS: 11&#037; актуальных образов в репозиториях Docker содержат опасны... https://www.opennet.ru/openforum/vsluhforumID3/110687.html Проанализировав состав свежих образов, представленных в официальных репозиториях Docker, исследователи обнаружили (https://www.federacy.com/docker_image_vulnerabilities), что в 11% из них присутствуют неисправленные опасные уязвимости, а в 13% уязвимости средней степени опасности. Для проверки использовалась утилита vuls (https://github.com/future-architect/vuls), оценивающая версии установленных пакетов на наличие известных уязвимостей. Для сравнения, похожее исследование, проведённое два года назад среди официальных образов, помеченных как самые свежие (выставлен тег "latest"), показало (https://www.opennet.ru/opennews/art.shtml?num=42322) наличие наличие опасных уязвимостей в 23% образов и уязвимослей средней опасности в 24%.<br><br><br><br>Меньше всего уязвимостей было выявлено в образах, построенных на пакетной базе Debian (8.33%), а больше всего опасных уязвимостей было найдено в образах на базе Ubuntu (26.67%), при том, что на базе Ubuntu построено 16% из рассмотренных образов Docker, а на базе Debian - 79%. 11% актуальных образов в репозиториях Docker содержат опасны... (Нониус) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#81 Wed, 22 Mar 2017 07:14:10 GMT а потом не забываем а забиваем.<br> 11% актуальных образов в репозиториях Docker содержат опасны... (Jack) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#80 Sun, 19 Mar 2017 11:41:59 GMT Я в свое время с этим боролся. обновляя таймстамп в комментарии в докерфайле. Докер после этого считает, что это уже новый докерфайл, и не берет ничего из кешей.<br> 11% актуальных образов в репозиториях Docker содержат опасны... (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#79 Fri, 17 Mar 2017 16:33:02 GMT у нас в проде используется два дистра ubuntu 14.04/16.04. Так что никаких проблем нет. Если у вас зоопарк, то кто вам виноват<br> 11% актуальных образов в репозиториях Docker содержат опасны... (пох) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#78 Fri, 17 Mar 2017 05:45:38 GMT &gt; Нет. Просто нет. Контейнеры нужны не для деплоя серверов. Это какие-то извращенцы<br>&gt; придумали.<br><br>увы, девопы это придумали. В смысле докера, для остальных были lxc+openvz. И всякие atomic hosts они же.<br>идея на бумаге была очень красива - вместо dependency hell внутри системы (три версии пехепе по номерам, две - по версиям одинаковы но в них разные версии шибконужного кривого модуля, и смотри не перепутай, с каким префиксом запускать pecl - кстати, как у тебя с умением собирать pecl'овые автопонатащеные зависимости в пакет, будь он деб или rpm? И то же самое с пихоном (там с модулями попроще, но есть пара своих, где баг исправили, версию не поменяли, не забудь стереть старые .egg везде где их ухитрилось отложить - напоминаю, оно умеет гадить под себя) - ну и там, по мелочи, три boost'а, скажем. Нет, это я не из пальца высосал, это я в старую шпаргалку глянул) получаем законченные черные ящички, из которых можно _автоматически_ (чего у тебя нет с lxc и прочей виртуализацией) собрать правильную этажерочку, а 11% актуальных образов в репозиториях Docker содержат опасны... (freehck) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#77 Fri, 17 Mar 2017 03:42:18 GMT Нет. Просто нет. Контейнеры нужны не для деплоя серверов. Это какие-то извращенцы придумали. Они нужны для того, чтобы в изолированном окружении заупстить какую-нибудь проприетарщину, например. Или для быстрого формирования сборочного окружения. Но почему вы серверы деплоите? Идея сродни снапу, не иначе.<br><br>А пример с nginx любопытен тем, что абсолютно не понятно, на кой чёрт тебе там докер-контейнер. Ну вышел патч, ну собери и установи через checkinstall. Это ведь лучше, чем запустить последний зафикшенный nginx работать с уязвимым окружением в контейнере?<br> 11% актуальных образов в репозиториях Docker содержат опасны... (пох) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#76 Thu, 16 Mar 2017 21:54:59 GMT &gt; а кто мешает после сборки образа запустить тот же ansible playbook и убедиться, <br>&gt; что у вас нет уязвимых версий пакетов?<br><br>отсутствие внутри скачанного из репо-помойки образа ansible, плейбука к оному с учетом особенностей всех неведомых дистрибутивов, на основе любого из которых може быть собран контейнер, достаточных прав в конфиге.<br><br>итого на каждый, приехавший по зависимостям образ, тебе надо - добавить ненужные в продакшн пермишны, добавить свои скрипты проверки, запустить, проконтролировать что они именно сработали, а не обломались о неверный угадав местного пакетного менеджера или еще какую специфичную проблему, если нашлась уязвимость - добавить _еще_ пермишнов чтобы таки суметь втащить апдейты (если они вообще есть, а не образ собран на базе давно неподдерживаемой ветки), убрать все пермишны, кроме дефолтных, и можно вздохнуть спокойно, пока не приедет следующий.<br>Я даже верю, что это, в принципе, можно процентов на 90 автоматизировать, блокируя раскатывание на прод оставшихся 10 до ручного вмеш 11% актуальных образов в репозиториях Docker содержат опасны... (Анон007) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#75 Thu, 16 Mar 2017 18:42:36 GMT &gt;&gt; Ну то есть то, что твой контейнер потенциально делает из твоей машинки звено ботнета для рассылки спама<br><br>То же самое делает не обновленный вовремя пакет, или устаревший пакет из репозитория.<br><br>Проблема из сабжа не есть проблема контейнеров, как и устаревшие пакеты в репозитории не проблема пакетного менеджера. Это проблема - майнтенера и политики докерхаба. Естественно в данной ситуации внимательно смотреть что ты качаешь и запускаешь.<br><br>Контейнер из доверенного источника может послужить на пользу. Например, в нем можно запустить последний зафикшеный Nginx, обновленная версия которого еще не появилась в оф. репозитории или она вообще не появиться. Так что технология полезная если пользоваться с включенной головой.<br> 11% актуальных образов в репозиториях Docker содержат опасны... (рлрлро) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#74 Thu, 16 Mar 2017 17:36:35 GMT просто кто-то не осилил OBS<br> 11% актуальных образов в репозиториях Docker содержат опасны.. (пох) https://www.opennet.ru/openforum/vsluhforumID3/110687.html#73 Thu, 16 Mar 2017 17:29:47 GMT &gt; Это справедливо для традиционных контейнеров, где крутится полноценная система<br><br>у полноценной системы как раз есть полноценный автообновлятор, если его специально не сломать.<br>А у докер-контейнера ничего нет, и доступа в сеть нормального тоже - кроме упомянутого выше "единственного порта, на котором слушает [дырявая] монга".<br><br>Ну и у полноценной системы - полноценные админы, с полноценной ответственностью. А не девелоперы, которым срочно нужно почесать зависимость от очередного неведомого нагромождения хлама, а если что - "мы не виноватые, оно шамо приполжло".<br><br>