C'est pas un sujet si simple, car certaines images (par exemples des images de bases) doivent plutôt rester sur root. Par contre un service qui tourne, probablement pas.
En effet, mais il y a peu d'images de base comparé au nombre d'images d'applications, et les images d'applications passant par un utilisateur non-privilégié sont une minorité (je ne pense même pas arriver à en citer une). Par défaut également, tous les capabilities sont conservées, et bien peu d'images les désactivent.
Il y a bien sûr le problème des mises à jour qui fait l'objet de ce journal, et très peu d'images que j'ai rencontrées sur dockerhub sont reconstruites fréquemment pour avoir les paquets du système à jour. Aucun moyen facilitateur n'est fourni pour le faire. Quelques exemples ont été donnés ici pour employer une CI/CD dans ce but, mais ce ne sont que des solutions « maison » et ce n'est même pas ne serait-ce qu'évoqué dans la documentation de docker concernant les bonnes pratiques.
Sur un autre sujet de qualité, qui ne concerne pas la sécurité, mais qui a été mentionné dans les commentaires : le poids des images. Il existe des moyens pour faire des images finales minimales comme le multi-stage build mais c'est relativement peu utilisé dans les faits. Voir par exemple monicahq/docker#109 et docker-library/php#1324 où la balle est renvoyée entre une appli et l'image de base utilisée.
[^] # Re: Titre
Posté par BFG . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 3. Dernière modification le 07 novembre 2022 à 15:18.
En effet, mais il y a peu d'images de base comparé au nombre d'images d'applications, et les images d'applications passant par un utilisateur non-privilégié sont une minorité (je ne pense même pas arriver à en citer une). Par défaut également, tous les capabilities sont conservées, et bien peu d'images les désactivent.
Il y a bien sûr le problème des mises à jour qui fait l'objet de ce journal, et très peu d'images que j'ai rencontrées sur dockerhub sont reconstruites fréquemment pour avoir les paquets du système à jour. Aucun moyen facilitateur n'est fourni pour le faire. Quelques exemples ont été donnés ici pour employer une CI/CD dans ce but, mais ce ne sont que des solutions « maison » et ce n'est même pas ne serait-ce qu'évoqué dans la documentation de docker concernant les bonnes pratiques.
Sur un autre sujet de qualité, qui ne concerne pas la sécurité, mais qui a été mentionné dans les commentaires : le poids des images. Il existe des moyens pour faire des images finales minimales comme le multi-stage build mais c'est relativement peu utilisé dans les faits. Voir par exemple monicahq/docker#109 et docker-library/php#1324 où la balle est renvoyée entre une appli et l'image de base utilisée.