ドッカーイメージの作成時に基づいて異なるコンテナを生成する可能性があるため、ドッカーファイル内に「yum update」を含めることは避けたいですが、基本システムを更新する必要がある場合はセキュリティ上の問題が発生する可能性があります。組織にとって幅広い基本システムイメージを持ち、それを更新するのが最良の選択肢ですか?セキュリティ更新プログラムを適用するたびに組織全体にすべてのアプリケーションを再構築して展開する必要があるという問題があります。ドッカーのコンテナ内のセキュリティアップデートをどのように処理できますか?
私のためにちょっとした外見がありますが、単にコンテナ内のセキュリティアップデートを無視して、ホストマシン上のセキュリティアップデートを気にするだけです。ここで考えられるプロセスは、攻撃者がコンテナに入るためには、ホストマシンに脆弱性が存在すること、ドッカーエンジン内の別の脆弱性がコンテナに侵入する必要があること、そしてコンテナは、非常に起こりそうな一連の出来事のようです。ユーザーの名前空間とseccompプロファイルの導入により、これはリスクをさらに低減するようです。
とにかく、CI/CDパイプラインへの影響を最小限に抑えて、またはインフラストラクチャ全体を頻繁に再配備する必要がないように、コンテナ内のセキュリティ更新をどのように処理できますか?
https://jpetazzo.github.io/2015/05/27/docker-images-vulnerabilities/ – user2915097
これはすばらしいリソースです!記事をありがとう – jaumann
同僚がこの午前中にこの記事を送ってくれました。これは、この特定の問題にも対処しているようで、インフラストラクチャ全体を再導入する必要はありません。https://www.hastexo.com/blogs/florian/2016/02/ 21/containers-just-because-everyone-else /#。VsmK2oUo_qD – jaumann