我们的Docker镜像存在一个关键漏洞,我们根本没有使用Python
FROM alpine:3.18.4
RUN apk add nfs-utils
RUN rc-update add nfsmount字符串
Python是一个依赖项,它作为nfs-unit的一部分添加到我们的Docker镜像中
当Xray扫描Docker镜像时,我们发现存在严重漏洞。
我们尝试在23.3版中添加和安装pip,
RUN apk --no-cache --latest upgrade py3-pip型
但是,同样的漏洞仍然被报告。
怎么解决?
参考:https://access.redhat.com/security/cve/cve-2018-20225
1条答案
按热度按时间zvms9eto1#
CVE-2018-20225正在影响所有pip版本,并且不会被pip修复为预期行为(该漏洞由NVD争议)
x射线发现它作为pip的一部分,这将不会改变,但很快就会有一个改进,以更好地显示有争议的漏洞。
如果你在docker项目中没有--extra-index-url,正如漏洞描述中提到的,你不会受到影响,可以在所有pip版本上为这个漏洞创建忽略规则。