forum.opennet.ru - "Docker предоставил бесплатный доступ к защищённым образам контейнеров" (24)

Вариант для распечатки	Пред. тема \| След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение	[ Отслеживать ]

Изначальное сообщение

Можете спросить у ИИ. Вкратце все сводится к тому что вам доверенные лица делают минимальные контейнеры которые сделаны от кого надо и стучат куда надо ради безопасности и ради того чтобы вам помочь найти проблемы через мониторинг.
Ну вот типа такого ответа:
Разница между Hardened Images и официальными образами
1. Снижение поверхности атаки
Hardened Images минимизируют количество пакетов и зависимостей, которые могут быть потенциальными уязвимостями. Официальные образы могут содержать множество компонентов, которые не всегда необходимы для работы приложения, увеличивая риск.
2. Обновления безопасности
В Hardened Images регулярно интегрируются последние обновления безопасности и патчи, что помогает предотвратить использование известных уязвимостей. Официальные образы могут не всегда обновляться сразу после выпуска новых исправлений.
3. Принципы наименьших прав
Hardened Images настраиваются с учетом принципа наименьших прав, например, исполняя приложения от непользовательских (non-root) учетных записей. Это ограничивает возможность злоумышленников получить доступ к системе. Официальные образы иногда запускаются от привилегированных учетных записей.

"Docker предоставил бесплатный доступ к защищённым образам контейнеров"	+/–
Сообщение от opennews (??), 10-Фев-26, 19:23
Компания Docker объявила о предоставлении бесплатного доступа к коллекции защищённых образов контейнеров DHI (Docker Hardened Images), насчитывающей более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений, инструментариев, runtime и платформ. Образы распространяются под лицензией Apache 2.0 и сопровождаются силами Docker... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64766
Ответить \| Правка \| Cообщить модератору

1. Сообщение от Аноним (1), 10-Фев-26, 19:23 Скрыто ботом-модератором	–6 +/–
Зачем нужен этот блоатвейр когда все задачи которые решает и он и весь прочий ворох нескучных велосипедов типа кубернетеса в 10 раз проще и быстрее решают старые добрые баш скрипты?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #25

2. Сообщение от Аноним (2), 10-Фев-26, 19:29	+2 +/–
Нет, спасибо, я доверяю сборку rootfs и контейнера родными средствами дистрибутива, а не непонятным мутным сборкам от компании.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #13, #14

4. Сообщение от Аноним (4), 10-Фев-26, 19:43	+1 +/–
да ссылку на проект с баш скрипта, которые будут управлять жизненным циклом сотенями контейнеризованных приложений, а то я искал и чёй-то не нашел?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

5. Сообщение от Аноним (4), 10-Фев-26, 19:46	–2 +/–
а где берешь базовый контейнер, ну ту хрень которая в поле FROM в Dockerfile указана?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #8, #10, #15

6. Сообщение от Аноним (6), 10-Фев-26, 19:47	+2 +/–
>Использование DHI-образов упрощает работу по поддержанию безопасности инфраструктуры, так как за исправление уязвимостей в базовом содержимом образов и оперативную подготовку обновлений отвечают сотрудники Docker, а пользователям остаётся лишь заботится о безопасности своих приложений и дополнительно установленных зависимостей. Ребятишки,ни кому не надо поуправлять безопасностью? А то у меня руки чешутся.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

7. Сообщение от Аноним (4), 10-Фев-26, 19:50	–1 +/–
так не работает, ты для начала напиши свой Docker, а как напишешь, то приходи через 13 лет, тогда может и дадут "поуправлять безопасностью"!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #9

8. Сообщение от Аноним (8), 10-Фев-26, 20:02	+6 +/–
Ты про FROM: scratch что ли? А так, контейнеры можно и без Dockerfile собирать. Но это секретные технологии, веб-кодерам про них знать не положено.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #24

9. Сообщение от Аноним (6), 10-Фев-26, 20:03	+/–
>так не работает, ты для начала напиши свой Docker, а как напишешь, то приходи через 13 лет, тогда может и дадут "поуправлять безопасностью"! Так у тебя то они "управляют" безопасностью? А то в третьем лице то кто хочешь может рассказывать как надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

10. Сообщение от pashev.ru (?), 10-Фев-26, 20:04	+/–
А где её берут они? 😵‍💫 FROM scratch
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

11. Сообщение от Аноним (11), 10-Фев-26, 20:07	+2 +/–
Русские любят бесплатно.
Ответить \| Правка \| Наверх \| Cообщить модератору

12. Сообщение от Аноним (13), 10-Фев-26, 20:16	+/–
Какую задачу это решает, что не решает официальный докер образ от разработчиков софта?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

13. Сообщение от Аноним (13), 10-Фев-26, 20:17	+2 +/–
А дистрибутив вам боги собирают?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #21

14. Сообщение от q (ok), 10-Фев-26, 21:00	+/–
Большинство дистров не умеют в воспроизводимую сборку. Вероятно, ты как раз пишешь из такого дистра, чьи пакеты собраны блобом си-компилятора из предыдущей версии этого же дистра. И так далее, пока не дойдем до самой первой версии твоего дистра, для которой си-компилятор принес на дискете непонятный чувак непонятно откуда, в виде бинарного блобаря, без исходников, и ему поверили на слово.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #16, #17, #18

15. Сообщение от Аноним (2), 10-Фев-26, 21:26	+/–
Ну так делаешь один раз базовый rootfs и с него новые образы делаешь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

16. Сообщение от Аноним (2), 10-Фев-26, 21:27	+/–
У дистрибутивов >90% воспроизводимость. У этого докера сколько? Они тоже откуда-то взяли компилятор. И gcc с нуля можно раскрутить, если вы не в курсе. Из исходников.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #19

18. Сообщение от Витюшка (?), 10-Фев-26, 21:33	+/–
Да тут даже не это. Правда опять сейчас потребуют "доказательств" на очевидные профессионалу вещи. Эти инструменты, пакеты, компиляторы и т.д. в дистрибутивах созданы либо сотрудником компании, либо энтузиастом. И оба ведут по 400 проектов (пакетов). О чём вообще можно при этом говорить? О какой надёжности, каком качестве? Какой проверке? Там не то что исходники смотрят, там наверное руками tar.gz распаковывают только когда сборка сломалась. Народ кто держал всё это (предполагаю) уходит, стареет, пенсия, семья, дети, работа. Новых не появляется. Оставшиеся тянут непомерную неблагодарную нагрузку. Поэтому считать что там "проприетарная блоатварь", а вот тут надёжный теплый ламповый..
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

19. Сообщение от Аноним (13), 10-Фев-26, 21:45	–2 +/–
> У этого докера сколько? Зависит от того, как написан конфиг. Если там apt update/install, то сам понимаешь. Если полагаться на собранный образ, то 100 будет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

22. Сообщение от Джон Титор (ok), 10-Фев-26, 22:12 Скрыто ботом-модератором	+/–
Там есть переменные для шлюза, вообще там много чего есть. Да
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

17. Сообщение от Аноним (17), 10-Фев-26, 21:28	–1 +/–
Откуда вы такие берётесь? Что-нибудь почитай про кросс-компиляцию.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

20. Сообщение от Аноним (20), 10-Фев-26, 22:02	+/–
> более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений Ммм... Дальше будут миллионы сборок для приложений с конкретными конфигами? Для шлюза 10.0.0.1, для шлюза 10.0.0.2, для шлюза ...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #22

21. Сообщение от Tron is Whistling (?), 10-Фев-26, 22:12 Скрыто ботом-модератором	+1 +/–
Современный девопс не в курсе, что дистрибутивы-то, оказывается, людьми деланы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

23. Сообщение от Джон Титор (ok), 10-Фев-26, 22:25 Скрыто ботом-модератором	+/–
Можете спросить у ИИ. Вкратце все сводится к тому что вам доверенные лица делают минимальные контейнеры которые сделаны от кого надо и стучат куда надо ради безопасности и ради того чтобы вам помочь найти проблемы через мониторинг. Ну вот типа такого ответа: Разница между Hardened Images и официальными образами 1. Снижение поверхности атаки Hardened Images минимизируют количество пакетов и зависимостей, которые могут быть потенциальными уязвимостями. Официальные образы могут содержать множество компонентов, которые не всегда необходимы для работы приложения, увеличивая риск. 2. Обновления безопасности В Hardened Images регулярно интегрируются последние обновления безопасности и патчи, что помогает предотвратить использование известных уязвимостей. Официальные образы могут не всегда обновляться сразу после выпуска новых исправлений. 3. Принципы наименьших прав Hardened Images настраиваются с учетом принципа наименьших прав, например, исполняя приложения от непользовательских (non-root) учетных записей. Это ограничивает возможность злоумышленников получить доступ к системе. Официальные образы иногда запускаются от привилегированных учетных записей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

24. Сообщение от анонимс (?), 10-Фев-26, 22:27	+/–
И shell совсем не обязателен:) В образе контейнера (Linux процесса) может быть только программа с библиотеками либо вообще один статичный исполняемый файл. Крайне безопасно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

25. Сообщение от Аноним (25), 10-Фев-26, 22:36	+/–
> старые добрые баш скрипты Ты не поверишь, в 95% случаев в контейнере запускается этот самый башскрипт. Просто все остальное тоже имеет значение.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1