• [^] # Re: Titre

    Posté par (site web personnel, Mastodon) . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 4.

    Pour pouvoir juger de la qualité des images, il faut pouvoir lire leur Dockerfile et les sources qui l'accompagnent.

    Malheureusement, je trouve difficile de lire le Dockerfile directement sur Docker Hub, car il manque le contexte des fichiers sources avec.

    Par exemple, celui de nginx est encore lisible, mais on ne sait pas le contenu des fichiers des entry points.

    Un point qui pourrait grandement aider à juger les images serait de donner la possibilité d'afficher directement sur la page des projets Docker Hub l'URL du site du projet, celle du dépôt de sources et éventuellement celle pour rapporter des bugs.

    Je trouve par exemple facilement ces 3 liens sur les modules JavaScript hébergés sur npmjs.com. Ce n'est pas obligatoire sur ce site, mais les projets renseignent ça souvent.

    Je sais qu'il y a un fichier Readme où les projets peuvent mettre du lien et du texte, mais j'apprécie que le Readme présente le projet plutôt que des liens. En plus, ça permet aussi de repérer rapidement les liens puisqu'ils sont toujours au même endroit si c'est en dehors (comme sur npmjs où je sais que je trouve ces liens sur la droite).


    Je n'ai pas de parts dans npmjs, mais j'aime bien aussi le fait de voir les quelques métriques qu'ils ajoutent au projet:

    • le nombre de téléchargement hebdomadaire donne une idée sur le nombre de personnes qui se fient à se projet et l'évolution dans le temps (projet jeune, projet abandonné dont les utilisateurs partent...)
    • le nombre de dépendances
    • le nombre de dépendants

    Les deux derniers semblent bizarre pour des images de containers, mais je pense que ça permettrait de voir quelle est la profondeur du graphe des FROM pour construire l'image.