forum.opennet.ru

"11% актуальных образов в репозиториях Docker содержат опасны..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "11% актуальных образов в репозиториях Docker содержат опасны..."	+/–
Сообщение от пох (?), 16-Мрт-17, 00:24
> бессмысленное исследование. Во-первых, все эти уязвимости получаются из-за необновленных > версий пакетов и лечатся банальным apt update && apt dist-upgrade. и кто же собирается это делать - в каждом инстансе каждого контейнера, который тебя угораздило запустить? > Во-вторых, кому какое дело до уязвимости в libxml в каком-нибудь контейнере с монгой, > который хорошо если светит наружу одним портом? потому что если в этот порт (или в десяток забытых собирателем контейнера соседних) нельзя засунуть ломающий xml - значит, в контейнере просто лишняя библиотека (что возможно, конечно). А если она таки нелишняя - то добро пожаловать в те 11%. > В-третьих, в любом сколько-нибудь сложном продакшне контейнеры собираются вручную. а нахрена тогда? В сколько-нибудь сложном продакшне обычно не идет речи о запуске на одном хосте ста контейнеров, в нем идет речь о "как бы нам еще и вот эту хреновину распилить, чтобы можно было запускать ее на стойке серверов, а желательно на двух, на разных континентах". Контейнер в этом случае удобен только тогда, когда за тебя его уже кто-то собрал.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

11% актуальных образов в репозиториях Docker содержат опасны..., opennews, 15-Мрт-17, 13:27 [смотреть все]

Вот тут бы всяким поклонникам snap-ов и им подобных решений задуматься, но , freehck, 15-Мрт-17, 13:27 (1) //
- Не задумаются, ибо есть 100500 более серьёзных проблем, которые доскер аппимаге, Аноним, 15-Мрт-17, 13:39 (5) //
  - потому что вы поклонники Hype Drive Developmenthttps blog daftcode pl hype-dri, Аноним, 15-Мрт-17, 14:00 (13) //
    - Эти умные слова не к месту немного Особенно в моём случае Несколько лет назад,, Аноним, 15-Мрт-17, 14:06 (15)
      - Странная логика Т е openvz или lxc 8212 это оверхед, а докер - нормалёк , Moomintroll, 15-Мрт-17, 14:32 (19)
        
        там и докера не было В те времена , Аноним, 15-Мрт-17, 14:53 (23)
      - Прямо таки целая неделя И на каждый деплой Или все таки один раз сделал и рабо, anonimus, 15-Мрт-17, 14:38 (22)
        
        один раз написал скрипт для сборки Типа сегодняшнего Dockerfile, но без докера , Аноним, 15-Мрт-17, 14:55 (24)
      - А пакетные менеджеры тогда ещё не изобрели , Аноним, 15-Мрт-17, 15:27 (29)
        
        Как бы, разные вещи, пакетник суть просто распаковщик , username, 15-Мрт-17, 15:34 (32)
        Именно переносимой , Аноним, 15-Мрт-17, 15:58 (38)
        
        Счас тебе скажут что собрать десяток пакетов под все сборки линукса не проблема,, username, 15-Мрт-17, 16:01 (39)
        
        Точно , Аноним, 15-Мрт-17, 16:36 (43)
        просто кто-то не осилил OBS, рлрлро, 16-Мрт-17, 20:36 (74)
      - Плюсую, делал тоже самое, писал самопальные обвязки что суть была, докер над lx, username, 15-Мрт-17, 15:29 (30)
        
        Разуваем глаза и читаем Если б тестировали всё подряд, результат был бы порядка , анонимус вульгарис, 15-Мрт-17, 15:44 (34)
        
        Хз, я откалываюсь от aws docker image и делаю апдейт установку барахла на каждой, username, 15-Мрт-17, 15:52 (37)
        
        а бывают другие , тигар, 16-Мрт-17, 08:58 (63)
      - Странно, потому как хоть Docker и смен backend на свой, проблемы связанные с ядр, vitvegl, 15-Мрт-17, 21:54 (55)
      - я вот хз как у вас поворачивается язык называть контейнеры переносимыми понятно, Михрютка, 15-Мрт-17, 23:20 (57)
  - Что то мне страшно, может стоит заменить дженкинс на красивый gitlab-ci-multi-ru, Аноним, 15-Мрт-17, 14:31 (18) //
    - да хоть и на мезос, хоть это и некрасиво Всё это по сути - таскраннеры , Аноним, 15-Мрт-17, 14:56 (25)
Кстати, каким молодчиком выглядит rhel ни одной серьёзной уязвимости не выявлен, freehck, 15-Мрт-17, 13:29 (2) //
- Молодец, возьми с полки пирожок А на самом деле выглядит это так, что возможно, Аноним, 15-Мрт-17, 13:53 (10)
Вот, еще в одной помойке нашли кучу дырявого софта, а все потому-что хыпстеры не, Аноним, 15-Мрт-17, 13:35 (3) //
- Да тут дело даже не столько в создании контейнеров, сколько в том, что на их соп, freehck, 15-Мрт-17, 13:42 (7) //
  - А чего там сопровождать Они по определению одноразовые Те, кто используют один, анонимус вульгарис, 15-Мрт-17, 15:35 (33) //
    - А у меня время жизни контейнера соизмеримо с временем жизни хоста , Аноним, 15-Мрт-17, 16:03 (40)
      - Тогда на фига докер С него весь профит в том, что контейнерами можно жонглирова, анонимус вульгарис, 15-Мрт-17, 17:19 (45)
        
        Теорему Эскобара доказываете , Аноним, 15-Мрт-17, 17:51 (47)
- Я один из тех хипсторов, готовивший контейнеры самостоятельно До появления доск, Аноним, 15-Мрт-17, 13:44 (8) //
  - Как показало данное исследование, как минимум 11 докеровских контейнеров не пов, pkdr, 15-Мрт-17, 13:56 (11) //
    - 11 - очень даже неплохо, как для начала , Аноним, 15-Мрт-17, 14:08 (16)
      - Так это не начало, а продолжение В начале было 23 Читайте в новостях не тольк, анонимус вульгарис, 15-Мрт-17, 18:39 (49)
  - до появления докера это называлось chroot и почему вы считаете что до докера тол, Аноним, 15-Мрт-17, 14:36 (21) //
    - да, у меня это был чрут, и не полновесный, а сильно усечённый, но с докером сего, Аноним, 15-Мрт-17, 14:59 (26)
      - почему вы себя хипстером называете , Аноним, 15-Мрт-17, 18:54 (51)
Да плевать, разве не для этого придумали изолированные контейнеры , Аноним, 15-Мрт-17, 13:35 (4) //
- Ну то есть то, что твой контейнер потенциально делает из твоей машинки звено бот, freehck, 15-Мрт-17, 13:40 (6) //
  - Потенциально любой необслуживаемый сервер тоже звено ботнета, давайте все потуши, username, 15-Мрт-17, 17:55 (48) //
    - Давайте Если б они были кому-нибудь нужны, их бы обслуживали , анонимус вульгарис, 15-Мрт-17, 18:41 (50)
      - рили похоже ты не умеешь в реальность , username, 16-Мрт-17, 12:48 (66)
        
        Нет, это кто-то не умеет в автоматизацию , анонимус вульгарис, 16-Мрт-17, 18:52 (71)
  - То же самое делает не обновленный вовремя пакет, или устаревший пакет из репозит, Анон007, 16-Мрт-17, 21:42 (75) //
    - Нет Просто нет Контейнеры нужны не для деплоя серверов Это какие-то извращенц, freehck, 17-Мрт-17, 06:42 (77)
      - увы, девопы это придумали В смысле докера, для остальных были lxc openvz И вся, пох, 17-Мрт-17, 08:45 (78)
бессмысленное исследование Во-первых, все эти уязвимости получаются из-за необн, Аноним, 15-Мрт-17, 13:56 (12) //
- Вот только хипстеры выше таких скучных вещей, как обновление ПО Совсем недавно п, pkdr, 15-Мрт-17, 14:06 (14) //
  - 1 - сам себе противоречишь2 - да, это проблема контейнеров ну-ну 3 - сиска,, Аноним, 15-Мрт-17, 14:12 (17)
  - А при чем здесь Docker , vitvegl, 15-Мрт-17, 21:59 (56)
  - Когда насяльника требует, чтоб вчера контейнер был запущен, а сегодня в него тол, Zarat, 16-Мрт-17, 11:16 (65)
- т е сначала заворачиваем в докер чтоб поставил и забыл , а потом не забываем и, Клыкастый, 15-Мрт-17, 14:34 (20) //
  - Нет - apt update apt upgrade - в докерфайле на сборочнице Обновление - это с, Аноним, 15-Мрт-17, 15:07 (27)
  - Ты, наверное, не в курсе, но решается это действительно просто Dockerfile всего, Аноним, 15-Мрт-17, 15:08 (28) //
    - проблема не в том, что я знаю или не знаю проблема в том, что часть раздающих д, Клыкастый, 15-Мрт-17, 15:33 (31)
      - Вот и не волнуйся Тебе это всё равно не грозит , Аноним, 15-Мрт-17, 16:05 (41)
        
        На него навалятся 100500 ботов с каждого из 100500 докер-контейнеров поднятых шк, _, 15-Мрт-17, 19:04 (52)
        а мне, мне тоже не волноваться а то я волнуюся вдруг мне нужно волноваться , Котофалк, 15-Мрт-17, 23:56 (58)
    - Да-да, берём дырявый образ, обновляем его дырявым apt и плодим ноды ботнета , анонимус вульгарис, 15-Мрт-17, 17:28 (46)
    - вы докером-то пользовались хоть раз пересборка такого докерфайла приведет к том, Аноним, 16-Мрт-17, 01:25 (62)
      - Я в свое время с этим боролся обновляя таймстамп в комментарии в докерфайле До, Jack, 19-Мрт-17, 14:41 (80)
  - а потом не забываем а забиваем , Нониус, 22-Мрт-17, 10:14 (81)
- и кто же собирается это делать - в каждом инстансе каждого контейнера, который т , пох, 16-Мрт-17, 00:24 (59)
вобщемта git pull Dockerfile docker build docker runне особо сложнее apt-ge, Антон, 15-Мрт-17, 15:45 (35)
Желаю видеть такие-же регулярные отчеты об анализе на уязвимости каталога дополн, username, 15-Мрт-17, 15:49 (36) //
- как ты докера-то обocрал как бе дополнения к вордпрессу вполне себе компактны , пох, 16-Мрт-17, 00:28 (60) //
  - Вся ручная проверка контейнера укладывается в yum, apt upgrade Просто кто-то , username, 16-Мрт-17, 12:57 (67) //
    - и так со всеми стапятьюдесятью контейнерами, которые понадобились именно на этой, Аноним, 16-Мрт-17, 18:06 (69)
    - Это справедливо для традиционных контейнеров, где крутится полноценная система , анонимус вульгарис, 16-Мрт-17, 19:00 (72)
      - у полноценной системы как раз есть полноценный автообновлятор, если его специаль, пох, 16-Мрт-17, 20:29 (73)
Короче, всё как всегда хочешь хорошо - сделай сам , YetAnotherOnanym, 15-Мрт-17, 17:01 (44) //
- самому на порядок проще воспользоваться полноценным отдельным сервером виртуальн, Аноним, 16-Мрт-17, 18:28 (70)
Ну классика жDocker - это отличная возможность переложить проблемы поддержания , ALex_hha, 15-Мрт-17, 20:57 (53) //
- amarao неточен Надо было поставить точку после возрастает пофигизм тут не при, пох, 16-Мрт-17, 00:44 (61)
Вообще частично проблему решает интеграция в CI сканеров, например - https git, ALex_hha, 15-Мрт-17, 21:01 (54)
По-хорошему нужно использовать образы наследованные от Alpine Linux, там будет м, Аноним, 16-Мрт-17, 10:49 (64)
а кто мешает после сборки образа запустить тот же ansible playbook и убедиться, , ALex_hha, 16-Мрт-17, 13:17 (68) //
- отсутствие внутри скачанного из репо-помойки образа ansible, плейбука к оному с , пох, 17-Мрт-17, 00:54 (76)
у нас в проде используется два дистра ubuntu 14 04 16 04 Так что никаких пробле, ALex_hha, 17-Мрт-17, 19:33 (79)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру