我们希望避免在dockerfiile中包含"yum update",因为它可以基于何时构建docker镜像生成不同的容器,但是如果需要更新基本系统,这显然会带来一些安全问题.真正拥有组织范围的基本系统映像并更新的最佳选择是什么?问题在于,每次应用安全更新时,都需要在整个组织中重建和部署所有应用程序.
对我来说似乎有点变化,只是忽略容器内的安全更新,只担心它们在主机上.这里的思考过程是,对于攻击者进入容器,需要在主机上存在漏洞,docker-engine中的另一个漏洞才能进入容器,然后是另一个利用漏洞利用内容的漏洞.容器,这似乎是一系列令人难以置信的事件.随着用户命名空间和seccomp配置文件的引入,这似乎进一步降低了风险.
无论如何,我如何处理容器内的安全更新,对CI/CD管道的影响最小,或者理想情况下不必每隔一段时间重新部署整个基础架构?