Компания Docker объявила о предоставлении бесплатного доступа к коллекции защищённых образов контейнеров DHI (Docker Hardened Images), насчитывающей более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений, инструментариев, runtime и платформ. Образы распространяются под лицензией Apache 2.0 и сопровождаются силами Docker...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64766
Зачем нужен этот блоатвейр когда все задачи которые решает и он и весь прочий ворох нескучных велосипедов типа кубернетеса в 10 раз проще и быстрее решают старые добрые баш скрипты?
да ссылку на проект с баш скрипта, которые будут управлять жизненным циклом сотенями контейнеризованных приложений, а то я искал и чёй-то не нашел?
> старые добрые баш скриптыТы не поверишь, в 95% случаев в контейнере запускается этот самый башскрипт. Просто все остальное тоже имеет значение.
Нет, спасибо, я доверяю сборку rootfs и контейнера родными средствами дистрибутива, а не непонятным мутным сборкам от компании.
а где берешь базовый контейнер, ну ту хрень которая в поле FROM в Dockerfile указана?
Ты про FROM: scratch что ли? А так, контейнеры можно и без Dockerfile собирать. Но это секретные технологии, веб-кодерам про них знать не положено.
И shell совсем не обязателен:) В образе контейнера (Linux процесса) может быть только программа с библиотеками либо вообще один статичный исполняемый файл. Крайне безопасно.
А где её берут они? 😵💫FROM scratch
Ну так делаешь один раз базовый rootfs и с него новые образы делаешь.
А дистрибутив вам боги собирают?
Современный девопс не в курсе, что дистрибутивы-то, оказывается, людьми деланы.
Большинство дистров не умеют в воспроизводимую сборку. Вероятно, ты как раз пишешь из такого дистра, чьи пакеты собраны блобом си-компилятора из предыдущей версии этого же дистра. И так далее, пока не дойдем до самой первой версии твоего дистра, для которой си-компилятор принес на дискете непонятный чувак непонятно откуда, в виде бинарного блобаря, без исходников, и ему поверили на слово.
У дистрибутивов >90% воспроизводимость. У этого докера сколько? Они тоже откуда-то взяли компилятор.
И gcc с нуля можно раскрутить, если вы не в курсе. Из исходников.
> У этого докера сколько?Зависит от того, как написан конфиг. Если там apt update/install, то сам понимаешь.
Если полагаться на собранный образ, то 100 будет.
Откуда вы такие берётесь? Что-нибудь почитай про кросс-компиляцию.
Да тут даже не это. Правда опять сейчас потребуют "доказательств" на очевидные профессионалу вещи.Эти инструменты, пакеты, компиляторы и т.д. в дистрибутивах созданы либо сотрудником компании, либо энтузиастом.
И оба ведут по 400 проектов (пакетов). О чём вообще можно при этом говорить? О какой надёжности, каком качестве? Какой проверке?
Там не то что исходники смотрят, там наверное руками tar.gz распаковывают только когда сборка сломалась.
Народ кто держал всё это (предполагаю) уходит, стареет, пенсия, семья, дети, работа.
Новых не появляется. Оставшиеся тянут непомерную неблагодарную нагрузку.
Поэтому считать что там "проприетарная блоатварь", а вот тут надёжный теплый ламповый..
Как запущенно. https://en.wikipedia.org/wiki/Bootstrapping_(compilers)
>Использование DHI-образов упрощает работу по поддержанию безопасности инфраструктуры, так как за исправление уязвимостей в базовом содержимом образов и оперативную подготовку обновлений отвечают сотрудники Docker, а пользователям остаётся лишь заботится о безопасности своих приложений и дополнительно установленных зависимостей.Ребятишки,ни кому не надо поуправлять безопасностью? А то у меня руки чешутся.
так не работает, ты для начала напиши свой Docker, а как напишешь, то приходи через 13 лет, тогда может и дадут "поуправлять безопасностью"!
>так не работает, ты для начала напиши свой Docker, а как напишешь, то приходи через 13 лет, тогда может и дадут "поуправлять безопасностью"!Так у тебя то они "управляют" безопасностью? А то в третьем лице то кто хочешь может рассказывать как надо.
Русские любят бесплатно.
Какую задачу это решает, что не решает официальный докер образ от разработчиков софта?
Можете спросить у ИИ. Вкратце все сводится к тому что вам доверенные лица делают минимальные контейнеры которые сделаны от кого надо и стучат куда надо ради безопасности и ради того чтобы вам помочь найти проблемы через мониторинг.Ну вот типа такого ответа:
Разница между Hardened Images и официальными образами
1. Снижение поверхности атаки
Hardened Images минимизируют количество пакетов и зависимостей, которые могут быть потенциальными уязвимостями. Официальные образы могут содержать множество компонентов, которые не всегда необходимы для работы приложения, увеличивая риск.2. Обновления безопасности
В Hardened Images регулярно интегрируются последние обновления безопасности и патчи, что помогает предотвратить использование известных уязвимостей. Официальные образы могут не всегда обновляться сразу после выпуска новых исправлений.3. Принципы наименьших прав
Hardened Images настраиваются с учетом принципа наименьших прав, например, исполняя приложения от непользовательских (non-root) учетных записей. Это ограничивает возможность злоумышленников получить доступ к системе. Официальные образы иногда запускаются от привилегированных учетных записей.
> более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложенийМмм... Дальше будут миллионы сборок для приложений с конкретными конфигами? Для шлюза 10.0.0.1, для шлюза 10.0.0.2, для шлюза ...
Там есть переменные для шлюза, вообще там много чего есть. Да