读完我可以访问docker镜像中间层的文件吗?我了解到,如果知道中间层的id,则不会隐藏更深层要删除的文件。这就是告诉我们“不要这样做!”在不要泄露 Docker 镜像的构建秘密。
但在上面的链接中,看起来只有构建日志泄漏时才存在威胁,并且由于 buildkit 中间层 id 不再显示,所以我知道构建阶段不存在威胁。那么,是否可以从用户发布的图像中检索图层ID,例如通过
docker inspect那么,是否可以通过用户从发布的图像中检索图层ID,例如通过docker检查?
是的。例如,您可以使用
docker inspect <image name> -f '{{.RootFS.Layers}}'感谢 buildkit 中间层 id 不再被泄露
并不是不再暴露中间层ID。必须显示层 ID 才能使 Docker 的层缓存发挥作用。 BuildKit 更安全的原因是,除了将机密复制到映像中之外,它还为您提供了使用机密的选项。如果您不使用这些选项,那么 BuildKit 并不比以前的系统更安全。