docker镜像这种东西能保证它不是恶意的吗?
特指从docker hub下载的镜像。这种东西实际上是没有审核的吧,所以要是我把本地数据mount给它是有风险的?或者它在后面顺搭着挖个矿也是可能的?
除了用dockerhub 官方提供的镜像其他的都是存在风险的,就跟你刷别人做好的刷机包一样。而且官方的也不能保证百分之百安全,毕竟还有供应链攻击这一说。
不过大部分很大一部分公开的docker镜像都会顺便公开源码,不放心就去代码审计然后自己做镜像啦
开源软件有审核都会被人投毒的。 查dockerfile
—— 来自 OnePlus CPH2653, Android 15, 鹅球 v3.4.97-alpha 只能靠社区声望来保证 有一点点安全性:
image 每次 push 到 dockerhub 有一个 hash,这个 hash 是根据镜像内容算的。只用 hash 而不是 tag 拉取 image,可以保证你镜像内容大概率和 dockerhub 上对应的镜像是一致的。
当然恶意镜像可以 hash 碰撞攻击。 docker 构建可以投毒,使用的二进制可以投毒,使用的二进制下载的动态资源可以投毒。这些都没法保证 无法保证 有一点是可以保证的,那就是 docker 之类的容器化工具保证镜像处于独立的命名空间内,而映射哪些文件系统或网络端口进这些命名空间是由用户决定的,只要用户尽可能限缩暴露给容器的资源,还是能一定程度上保证安全性的。至于有些人直接把各种敏感目录端口甚至 docker 管理端口映射给容器,就别提什么安全性了,看着也不像会关心安全性的人。 这事分两部分说
首先是你要使用的应用本身, 这个和docker无关, 应用本身的工具链有可能被攻击. 容器化一定程度上可以算是降低了这类风险, 因为你可以在使用docker的时候有选择的开放本地数据、网络.
另一个是这个镜像在构建过程中被可能被投毒, 理论上你可以自己看dockerfilie检查有没有这个问题, 觉得麻烦的话, 也可以只挑可信源发布的docker镜像
这东西就和你点外卖一样,你连他的制作过程都不知道,那只能相信了。 没事官方都能投毒
微软投的毒还少? 不能
所以本地数据不隐射
挖矿的话很容易暴露的反而不担心 天空是否可信?清风是否可信?究竟是朋友?还是带着恶意?
页:
[1]