Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

11% актуальных образов в репозиториях Docker содержат опасны..., opennews (ok), 15-Мрт-17, (0) [смотреть все] Вот тут бы всяким поклонникам snap-ов и им подобных решений задуматься, но , freehck (ok), 13:27 , 15-Мрт-17, (1) +13 // Не задумаются, ибо есть 100500 более серьёзных проблем, которые доскер аппимаге, Аноним (-), 13:39 , 15-Мрт-17, (5) –8 // потому что вы поклонники Hype Drive Developmenthttps blog daftcode pl hype-dri, Аноним (-), 14:00 , 15-Мрт-17, (13) +3 // Эти умные слова не к месту немного Особенно в моём случае Несколько лет назад,, Аноним (-), 14:06 , 15-Мрт-17, (15) –1 Странная логика Т е openvz или lxc 8212 это оверхед, а докер - нормалёк , Moomintroll (ok), 14:32 , 15-Мрт-17, (19) +4 там и докера не было В те времена , Аноним (-), 14:53 , 15-Мрт-17, (23) –1 Прямо таки целая неделя И на каждый деплой Или все таки один раз сделал и рабо, anonimus (?), 14:38 , 15-Мрт-17, (22) –1 один раз написал скрипт для сборки Типа сегодняшнего Dockerfile, но без докера , Аноним (-), 14:55 , 15-Мрт-17, (24) А пакетные менеджеры тогда ещё не изобрели , Аноним (-), 15:27 , 15-Мрт-17, (29) –1 Как бы, разные вещи, пакетник суть просто распаковщик , username (??), 15:34 , 15-Мрт-17, (32) Именно переносимой , Аноним (-), 15:58 , 15-Мрт-17, (38) Счас тебе скажут что собрать десяток пакетов под все сборки линукса не проблема,, username (??), 16:01 , 15-Мрт-17, (39) +2 Точно , Аноним (-), 16:36 , 15-Мрт-17, (43) +1 просто кто-то не осилил OBS, рлрлро (?), 20:36 , 16-Мрт-17, (74) Плюсую, делал тоже самое, писал самопальные обвязки что суть была, докер над lx, username (??), 15:29 , 15-Мрт-17, (30) +1 Разуваем глаза и читаем Если б тестировали всё подряд, результат был бы порядка , анонимус вульгарис (?), 15:44 , 15-Мрт-17, (34) +5 Хз, я откалываюсь от aws docker image и делаю апдейт установку барахла на каждой, username (??), 15:52 , 15-Мрт-17, (37) а бывают другие , тигар (ok), 08:58 , 16-Мрт-17, (63) –2 Странно, потому как хоть Docker и смен backend на свой, проблемы связанные с ядр, vitvegl (?), 21:54 , 15-Мрт-17, (55) я вот хз как у вас поворачивается язык называть контейнеры переносимыми понятно, Михрютка (ok), 23:20 , 15-Мрт-17, (57) Что то мне страшно, может стоит заменить дженкинс на красивый gitlab-ci-multi-ru, Аноним (-), 14:31 , 15-Мрт-17, (18) +1 // да хоть и на мезос, хоть это и некрасиво Всё это по сути - таскраннеры , Аноним (-), 14:56 , 15-Мрт-17, (25) Кстати, каким молодчиком выглядит rhel ни одной серьёзной уязвимости не выявлен, freehck (ok), 13:29 , 15-Мрт-17, (2) +1 // Молодец, возьми с полки пирожок А на самом деле выглядит это так, что возможно, Аноним (-), 13:53 , 15-Мрт-17, (10) –1 Вот, еще в одной помойке нашли кучу дырявого софта, а все потому-что хыпстеры не, Аноним (-), 13:35 , 15-Мрт-17, (3) +3 // Да тут дело даже не столько в создании контейнеров, сколько в том, что на их соп, freehck (ok), 13:42 , 15-Мрт-17, (7) +3 // А чего там сопровождать Они по определению одноразовые Те, кто используют один, анонимус вульгарис (?), 15:35 , 15-Мрт-17, (33) –1 // А у меня время жизни контейнера соизмеримо с временем жизни хоста , Аноним (-), 16:03 , 15-Мрт-17, (40) Тогда на фига докер С него весь профит в том, что контейнерами можно жонглирова, анонимус вульгарис (?), 17:19 , 15-Мрт-17, (45) +1 Теорему Эскобара доказываете , Аноним (-), 17:51 , 15-Мрт-17, (47) Я один из тех хипсторов, готовивший контейнеры самостоятельно До появления доск, Аноним (-), 13:44 , 15-Мрт-17, (8) –4 // Как показало данное исследование, как минимум 11 докеровских контейнеров не пов, pkdr (ok), 13:56 , 15-Мрт-17, (11) +2 // 11 - очень даже неплохо, как для начала , Аноним (-), 14:08 , 15-Мрт-17, (16) Так это не начало, а продолжение В начале было 23 Читайте в новостях не тольк, анонимус вульгарис (?), 18:39 , 15-Мрт-17, (49) +1 до появления докера это называлось chroot и почему вы считаете что до докера тол, Аноним (-), 14:36 , 15-Мрт-17, (21) // да, у меня это был чрут, и не полновесный, а сильно усечённый, но с докером сего, Аноним (-), 14:59 , 15-Мрт-17, (26) почему вы себя хипстером называете , Аноним (-), 18:54 , 15-Мрт-17, (51) Да плевать, разве не для этого придумали изолированные контейнеры , Аноним (-), 13:35 , 15-Мрт-17, (4) –1 // Ну то есть то, что твой контейнер потенциально делает из твоей машинки звено бот, freehck (ok), 13:40 , 15-Мрт-17, (6) +3 // Потенциально любой необслуживаемый сервер тоже звено ботнета, давайте все потуши, username (??), 17:55 , 15-Мрт-17, (48) // Давайте Если б они были кому-нибудь нужны, их бы обслуживали , анонимус вульгарис (?), 18:41 , 15-Мрт-17, (50) +3 рили похоже ты не умеешь в реальность , username (??), 12:48 , 16-Мрт-17, (66) Нет, это кто-то не умеет в автоматизацию , анонимус вульгарис (?), 18:52 , 16-Мрт-17, (71) То же самое делает не обновленный вовремя пакет, или устаревший пакет из репозит, Анон007 (?), 21:42 , 16-Мрт-17, (75) // Нет Просто нет Контейнеры нужны не для деплоя серверов Это какие-то извращенц, freehck (ok), 06:42 , 17-Мрт-17, (77) увы, девопы это придумали В смысле докера, для остальных были lxc openvz И вся, пох (?), 08:45 , 17-Мрт-17, (78) бессмысленное исследование Во-первых, все эти уязвимости получаются из-за необн, Аноним (-), 13:56 , 15-Мрт-17, (12) // Вот только хипстеры выше таких скучных вещей, как обновление ПО Совсем недавно п, pkdr (ok), 14:06 , 15-Мрт-17, (14) +6 // 1 - сам себе противоречишь2 - да, это проблема контейнеров ну-ну 3 - сиска,, Аноним (-), 14:12 , 15-Мрт-17, (17) –1 А при чем здесь Docker , vitvegl (?), 21:59 , 15-Мрт-17, (56) Когда насяльника требует, чтоб вчера контейнер был запущен, а сегодня в него тол, Zarat (ok), 11:16 , 16-Мрт-17, (65) т е сначала заворачиваем в докер чтоб поставил и забыл , а потом не забываем и, Клыкастый (ok), 14:34 , 15-Мрт-17, (20) // Нет - apt update apt upgrade - в докерфайле на сборочнице Обновление - это с, Аноним (-), 15:07 , 15-Мрт-17, (27) +1 Ты, наверное, не в курсе, но решается это действительно просто Dockerfile всего, Аноним (-), 15:08 , 15-Мрт-17, (28) –1 // проблема не в том, что я знаю или не знаю проблема в том, что часть раздающих д, Клыкастый (ok), 15:33 , 15-Мрт-17, (31) +2 Вот и не волнуйся Тебе это всё равно не грозит , Аноним (-), 16:05 , 15-Мрт-17, (41) –2 На него навалятся 100500 ботов с каждого из 100500 докер-контейнеров поднятых шк, _ (??), 19:04 , 15-Мрт-17, (52) +2 а мне, мне тоже не волноваться а то я волнуюся вдруг мне нужно волноваться , Котофалк (?), 23:56 , 15-Мрт-17, (58) Да-да, берём дырявый образ, обновляем его дырявым apt и плодим ноды ботнета , анонимус вульгарис (?), 17:28 , 15-Мрт-17, (46) +1 вы докером-то пользовались хоть раз пересборка такого докерфайла приведет к том, Аноним (-), 01:25 , 16-Мрт-17, (62) +1 Я в свое время с этим боролся обновляя таймстамп в комментарии в докерфайле До, Jack (??), 14:41 , 19-Мрт-17, (80) а потом не забываем а забиваем , Нониус (?), 10:14 , 22-Мрт-17, (81) и кто же собирается это делать - в каждом инстансе каждого контейнера, который т, пох (?), 00:24 , 16-Мрт-17, (59) вобщемта git pull Dockerfile docker build docker runне особо сложнее apt-ge, Антон (??), 15:45 , 15-Мрт-17, (35) –2 Желаю видеть такие-же регулярные отчеты об анализе на уязвимости каталога дополн, username (??), 15:49 , 15-Мрт-17, (36) // как ты докера-то обocрал как бе дополнения к вордпрессу вполне себе компактны , пох (?), 00:28 , 16-Мрт-17, (60) // Вся ручная проверка контейнера укладывается в yum, apt upgrade Просто кто-то , username (??), 12:57 , 16-Мрт-17, (67) –3   // и так со всеми стапятьюдесятью контейнерами, которые понадобились именно на этой, Аноним (-), 18:06 , 16-Мрт-17, (69) +1   Это справедливо для традиционных контейнеров, где крутится полноценная система , анонимус вульгарис (?), 19:00 , 16-Мрт-17, (72)   у полноценной системы как раз есть полноценный автообновлятор, если его специаль, пох (?), 20:29 , 16-Мрт-17, (73)   Короче, всё как всегда хочешь хорошо - сделай сам , YetAnotherOnanym (ok), 17:01 , 15-Мрт-17, (44) +1 // самому на порядок проще воспользоваться полноценным отдельным сервером виртуальн, Аноним (-), 18:28 , 16-Мрт-17, (70) –1 Ну классика жDocker - это отличная возможность переложить проблемы поддержания , ALex_hha (ok), 20:57 , 15-Мрт-17, (53) +9 // amarao неточен Надо было поставить точку после возрастает пофигизм тут не при, пох (?), 00:44 , 16-Мрт-17, (61) Вообще частично проблему решает интеграция в CI сканеров, например - https git, ALex_hha (ok), 21:01 , 15-Мрт-17, (54) По-хорошему нужно использовать образы наследованные от Alpine Linux, там будет м, Аноним (-), 10:49 , 16-Мрт-17, (64) –1 а кто мешает после сборки образа запустить тот же ansible playbook и убедиться, , ALex_hha (ok), 13:17 , 16-Мрт-17, (68) +1 // отсутствие внутри скачанного из репо-помойки образа ansible, плейбука к оному с , пох (?), 00:54 , 17-Мрт-17, (76) у нас в проде используется два дистра ubuntu 14 04 16 04 Так что никаких пробле, ALex_hha (ok), 19:33 , 17-Мрт-17, (79) 1,2,3,4,12,35,36,44,53,54,64,68,79

Сообщения

[Сортировка по времени | RSS]

	67. "11% актуальных образов в репозиториях Docker содержат опасны.."	–3 +/–
	Сообщение от username (??), 16-Мрт-17, 12:57
	>> Иначе эта вся кампания как-то странно выглядит. > как бе дополнения к вордпрессу вполне себе компактны и поддаются человеческому анализу > (поштучно, конечно, а не когда тебе внезапно достался сайт с неведомым > их количеством) > контейнеры - только если вот автоматически чем-то проверять, без гарантий, при этом. > (не говоря уж про сам докер, который тоже в принципе неанализируем) Вся ручная проверка контейнера укладывается в {yum, apt} upgrade. Просто кто-то предпочитает доверять поставщику реп, а кто-то после этого этапа еще запускает тулзы для доп проверок. Тред пестрит страхами тех кто ничего не понимать в том что такое контейнер но точно быть уверенным что это зло и дыра. Необновленный контейнер сейчас такая-же популярная штука как и необновленный сервер, решаеют эту проблему одинаковыми методами, с безопасностью - аналогично. Здесь и обсуждать нечего.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "11% актуальных образов в репозиториях Docker содержат опасны.."	+1 +/–
	Сообщение от Аноним (-), 16-Мрт-17, 18:06
	> Вся ручная проверка контейнера укладывается в {yum, apt} upgrade. и так со всеми стапятьюдесятью контейнерами, которые понадобились именно на этой вот системе (из них 100 в силу dependency hell ;-) Не забыть 140 из них разрешить внешние сетевые подключения, ибо они тому, что работает внутри контейнера, вообще-то нахрен не нужны. Нет ,ты правда собираешься это делать - вручную аттачиться к каждому, выяснять - yum тут или apt или вообще zypper, запускать, обломиться о давно отключенный репозиторий, все это вручную устранять - с немалой вероятностью что завтра приедет новая версия (ночью, автоматически - разрабу было в это время работать приятнее, а походу он поправил зависимость на одну цифирку вверх - и да, у него-то "все тесты прошли, раскатываем на прод") и тебе все надо делать заново? > Необновленный контейнер сейчас такая-же популярная штука как и необновленный сервер число серверов конечно, внутри серверов стоит софт, отдельный от узкоспециализированной задачи, решаемой сервером, который и апдейтит их, и следит за тем чтобы апдейты не обломились об unresolvable/нет сети/недоступен repo, все это мониторится, и никакой разработчик не притащит за собой на веревочке свой, ни с чем несовместимый, с экзотическим дистрибутивом внутри. Контейнер собран за тебя кем-то, кто об этом думал в последнюю очередь, если было чем. Число контейнеров потребных для работы чего-то нетривиального - ограничено только фантазией разработчиков. То есть я с удовольствием послушаю истории успеха как лично тебе удалось поставить это под контроль, но пока - увы и ах, обычный FUD.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "11% актуальных образов в репозиториях Docker содержат опасны.."	+/–
	Сообщение от анонимус вульгарис (?), 16-Мрт-17, 19:00
	> Необновленный контейнер сейчас такая-же популярная штука как и необновленный сервер, решаеют > эту проблему одинаковыми методами, с безопасностью - аналогично. Здесь и обсуждать > нечего. Это справедливо для традиционных контейнеров, где крутится полноценная система (в том числе cron или другой демон, ставящий обновления безопасности автоматом), но не для докер-контейнеров, в которых традиционно запускается единственное приложение, и которые обновляются путём разворачивания свежего образа.
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	73. "11% актуальных образов в репозиториях Docker содержат опасны.."	+/–
	Сообщение от пох (?), 16-Мрт-17, 20:29
	> Это справедливо для традиционных контейнеров, где крутится полноценная система у полноценной системы как раз есть полноценный автообновлятор, если его специально не сломать. А у докер-контейнера ничего нет, и доступа в сеть нормального тоже - кроме упомянутого выше "единственного порта, на котором слушает [дырявая] монга". Ну и у полноценной системы - полноценные админы, с полноценной ответственностью. А не девелоперы, которым срочно нужно почесать зависимость от очередного неведомого нагромождения хлама, а если что - "мы не виноватые, оно шамо приполжло".
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема