Безопасное создание ненадежных образов контейнеров в больших масштабах ( depot.dev )
Я в замешательстве — какой риск безопасности существует при строительстве контейнера?
Вы запускаете ненадежный код. Каждая команда RUN в Dockerfile пользователя выполняется во время сборки, что означает, что вы выполняете произвольные команды от незнакомцев в своей собственной инфраструктуре. Если вы не изолируете это должным образом, это риск для безопасности.
Внутри контейнера. Весь смысл в том, что он изолирует и изолирует работающий код.
В этой записи блога[1] объясняется, почему это небезопасное предположение.
[1]:https://www.aquasec.com/blog/container-isolation/
Возможно, форма RUN по умолчанию довольно безопасна [0].
А как насчет ADD? Или COPY? Или RUN —-mount=type=bind,rw…?
За последние десять лет или около того мы прошли путь от едва заметных дыр в безопасности, связанных с небезопасностью памяти и т. п., до блестящих инструментов на блестящих безопасных языках, которые изначально имеют зияющие дыры в безопасности и изоляции. Идите к нам.
[0] Здесь присутствует некая серьезная мечтательность.
Source: news.ycombinator.com