你怎么知道公共Docker镜像是安全的?
我刚刚开始使用Docker,并且发现Docker Hub存储库中有许多图像可用。 这似乎是build立一个新的docker集装箱的正常方式是复制这些图像之一,并从那里去。 但是,我怎么知道这些容器中没有恶意代码,或者他们没有以其他方式危害我的安全?
举个例子,但是我怎么知道容器中的操作系统不是(例如)如果我input密钥,或者为了某种其他目的而劫持系统资源,就不会捕获键盘input?
标记为“可信任构build”的图像是由Docker在其服务器上从用户提供的源创build的。 您可以轻松地检查图像已经build立的Dockerfile来检查恶意代码。
你也有“官方”的图像(那些不是以'somthing /'开头的图像)被Docker官方支持。 如果您信任Docker,inc,您可以信任这些图像。
对于第三部分的图像,不是来自可信的构build,也不是来自Docker,那么您可以使用docker history <image>来检查docker history <image> (之后),看看它是如何构build的,但常识是适用的。 它不能被信任。
Docker正在起源工作,所以我们很快就会看到CA证书检查和原始certificate。 在此之前,只要小心使用只有您检查过的可信任版本或官方图片。