docker镜像这种东西能保证它不是恶意的吗？

子虚乌有

特指从docker hub下载的镜像。
这种东西实际上是没有审核的吧，所以要是我把本地数据mount给它是有风险的？或者它在后面顺搭着挖个矿也是可能的？

chinesepy

除了用dockerhub 官方提供的镜像其他的都是存在风险的，就跟你刷别人做好的刷机包一样。而且官方的也不能保证百分之百安全，毕竟还有供应链攻击这一说。
不过大部分很大一部分公开的docker镜像都会顺便公开源码，不放心就去代码审计然后自己做镜像啦

hxy8241

开源软件有审核都会被人投毒的。

seducer0719

查dockerfile

—— 来自 OnePlus CPH2653, Android 15, 鹅球 v3.4.97-alpha

小野賢章

只能靠社区声望来保证

Magnesium

有一点点安全性：
image 每次 push 到 dockerhub 有一个 hash，这个 hash 是根据镜像内容算的。只用 hash 而不是 tag 拉取 image，可以保证你镜像内容大概率和 dockerhub 上对应的镜像是一致的。
当然恶意镜像可以 hash 碰撞攻击。

yikaa

docker 构建可以投毒，使用的二进制可以投毒，使用的二进制下载的动态资源可以投毒。这些都没法保证

すぴぱら

无法保证

indtability

有一点是可以保证的，那就是 docker 之类的容器化工具保证镜像处于独立的命名空间内，而映射哪些文件系统或网络端口进这些命名空间是由用户决定的，只要用户尽可能限缩暴露给容器的资源，还是能一定程度上保证安全性的。至于有些人直接把各种敏感目录端口甚至 docker 管理端口映射给容器，就别提什么安全性了，看着也不像会关心安全性的人。

紧那罗

这事分两部分说
首先是你要使用的应用本身, 这个和docker无关, 应用本身的工具链有可能被攻击. 容器化一定程度上可以算是降低了这类风险, 因为你可以在使用docker的时候有选择的开放本地数据、网络.
另一个是这个镜像在构建过程中被可能被投毒, 理论上你可以自己看dockerfilie检查有没有这个问题, 觉得麻烦的话, 也可以只挑可信源发布的docker镜像

酱豆腐

这东西就和你点外卖一样，你连他的制作过程都不知道，那只能相信了。

宵神乐

没事官方都能投毒
微软投的毒还少？

trentswd

不能
所以本地数据不隐射
挖矿的话很容易暴露的反而不担心

吴怀在

天空是否可信？清风是否可信？究竟是朋友？还是带着恶意？