Рейтинг:0

Убедитесь, что «платформенная» часть образа из DockerHub актуальна.

флаг cn

Я хотел бы использовать изображения из DockerHub. Я доверяю приложениям, для которых предназначены контейнеры, и я доверяю сопровождающим обновлять образ DockerHub, если их приложение получает обновление. однако я им не доверяю сборка докера --pull каждый раз, когда используемый ими базовый образ получает обновление (например, когда они используют ОТ debian: яблочко-тонкий в их Dockerfile).

Что я хочу: постоянно проверять, что все (включая «платформу», также известную как базовый образ Debian в этом примере) обновлено без создания всего самостоятельно (если возможно).

Моя основная проблема: похоже, нет способа проверить базовый образ из извлеченного образа докера (см. https://stackoverflow.com/questions/35310212/docker-missing-layer-ids-in-output/35312577#35312577 и другие вопросы об обмене стеками о том же). Поэтому я не могу автоматически и вообще сравнивать слои образа из моего работающего контейнера с исходным базовым образом (или даже дату последнего обновления образа приложения с базовым образом).

Есть ли способ сделать то, что я описал выше? Или я действительно должен

а) полностью доверять сопровождающему образа DockerHub проверку конвейера сборки или

б) собрать все самому (в таком случае: зачем вообще существует DockerHub вместо DockerFile hub)?

Изменить: если это может иметь значение: это своего рода расширение этого старого вопроса: Как обрабатывать обновления безопасности в контейнерах Docker?

ampularius avatar
флаг cn
или, может быть, c) сообщить моему сценарию, какая ОС используется в каком контейнере, и использовать запуск докера, чтобы проверить, обновлена ​​ли она. Но это кажется довольно «грязным/хакерским», и я бы предпочел подход с нулевой конфигурацией.
ampularius avatar
флаг cn
можно ли снова задать тот же вопрос на другом сайте в сети stackexchange?
Рейтинг:1
флаг st

Похоже, вы можете добиться этого, используя внешний сервис, такой как snyk, для сканирования ваших изображений и использования полных версий изображений вместо «последних».

Snyk сообщит вам, если у него есть какие-либо известные уязвимости в системе безопасности. Кроме того, snyk может сканировать как ваш образ докера, так и ваш код, чтобы убедиться, что у вас есть уязвимая библиотека (например, из установки npm).

Кроме того, если вы используете реестр образов облачного провайдера, такой как облачный реестр GCP или AWS ECR, вы также используете сервис провайдера для сканирования безопасности контейнеров.

ampularius avatar
флаг cn
Спасибо. К сожалению, это не то, что я ищу. Я уже использую версии изображений, но этот вопрос не имеет к этому никакого отношения. Synk кажется полезным, когда вы создаете свои собственные образы, что я хотел бы делать только в том случае, если мне действительно нужно. Также бесплатная версия может делать только 100 проверок, мне этого мало. Мой вопрос: "Как я могу постоянно проверять, что _кто-то еще_ использует последний базовый образ?"

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.