max*_*x_i 6 security docker aws-codebuild
创建 Codebuild 项目时,可以在 Artifacts 部分配置缓存以加快后续构建。
Docker layer cache是那里的选择之一。AWS 文档说:
LOCAL_DOCKER_LAYER_CACHE 模式缓存现有的 Docker 层。对于构建或拉取大型 Docker 镜像的项目,此模式是一个不错的选择。它可以防止由于从网络中拉下大型 Docker 镜像而导致的性能问题。
笔记
您只能在 Linux 环境中使用 Docker 层缓存。
必须设置特权标志,以便您的项目具有所需的 Docker 权限。
在使用 Docker 层缓存之前,您应该考虑安全隐患。
问题是:这些安全隐患是什么?
我相信自从问题提出以来,AWS 文档已经得到了改进,但这也许也会有用。
容器中的容器privileged mode与具有主机上所有功能的任何其他正在运行的进程没有什么不同。它破坏了容器隔离的整个理念。特权模式为容器提供了逃离其名称空间并具有对根分区的读/写访问权限和/或访问网络设备(与系统的任何类型的直接交互)的可能性。
如果容器被利用,安全隐患可能是
.ssh/authorized_keys修改