这个问题多次出现在我的脑海中,我只是希望每个人都对他们的想法表达同样的看法。 我想到的第一件事是容器不是VM,几乎相当于在主机实例中独立运行的进程。那么为什么我们需要继续使用安全更新来更新我们的docker镜像?如果我们已采取足够的步骤来保护我们的主机实例,那么docker容器应该是安全的。即使我们从多层安全性的不同方向思考,如果docker主机被泄露,那么就没有办法阻止黑客访问主机上运行的所有容器;无论您在docker镜像上执行了多少安全更新。 是否有任何人可以分享哪些特定情况,其中docker图像的安全更新确实有帮助? 现在我明白是否有人想要更新容器中运行的apache但是有理由对图像进行操作系统级别的安全更新吗?
答案 0 :(得分:2)
即使攻击不能让您访问底层操作系统,它也可能是危险的。只是能够在应用程序内部执行某些操作可能是一个大问题。例如,假设您可以将脚本注入Stackoverflow,模拟其他用户或获取完整用户数据库的副本。
就像任何软件一样,Docker(以及底层操作系统提供的容器机制)并不完美,也可能有bug。因此,可能有办法绕过隔离并打破沙箱。