我们真的需要docker镜像上的安全更新吗?
这个问题已经出现在我的脑海里了,我只是希望每个人都能用同样的想法来思考。 我首先想到的是容器不是一个虚拟机,几乎等同于在主机实例中独立运行的进程。 那么为什么我们需要不断更新我们的docker图像与安全更新? 如果我们已经采取了足够的步骤来确保我们的主机实例,那么docker容器应该是安全的。 即使我们从多层安全的不同方向考虑,如果docker主机被攻破,那么就无法阻止黑客访问主机上运行的所有容器; 不pipe你在docker映像上做了多less安全更新。 是否有任何人可以共享的地方,哪里的docker镜像的安全更新真的有帮助? 现在我明白如果有人想要更新在容器中运行的Apache,但是有没有理由对图像执行操作系统级别的安全更新?
-
即使它不允许您访问底层操作系统,攻击也可能是危险的。 只是能够在应用程序内部做些事情可能是一个大问题。 例如,假设您可以将脚本注入到Stackoverflow中,模拟其他用户或获取完整用户数据库的副本。
-
就像任何软件一样,Docker(和底层的操作系统提供的容器机制)并不完美,也可能存在缺陷。 因此,可能有办法绕过隔离,并从沙箱中跳出来。