我想在我的项目中使用Rocker镜像(R语言的Docker),并进一步分发补充版本。我将使用Podman(无根和无守护进程)从映像部署和运行容器,并向我的代码的其他用户推荐这种方法。在Docker hub上,据说这些镜像包含高严重性和其他漏洞:
https://hub.docker.com/layers/library/r-base/4.3.0/images/sha256-157acbe58cb30e19974c438622faac2391e6c6e59394b7d80eb62334a3e1a962?context=explore
很好,现在怎么办?如果容器没有root权限,并且它们不用作访问Internet的服务器,这些警告是否无关紧要?可能的风险是什么,应该如何管理?我可能需要从容器中的本地文件系统挂载目录。
感谢所有的帮助!
1条答案
按热度按时间hlswsv351#
这是一个很好的问题。我使用了你提到的一个下游图像(rocker/shiny),它有更多的漏洞,因为它使用了太多的javascript。
我用两个安全扫描软件(grype和snyk)对图像进行了扫描。他们发现了13个关键漏洞(!!).
我分别审查了每一个,阅读CVE,以评估是否有必要修复它们。以下是我学到的一些东西: