Docker Hub的镜像安全吗?会不会有人留个后门啊,如何辨别呢?


我看了Docker的文档,说到了Docker Hub,谁都可以上传自己的镜像,官方也提供了一些镜像。我知道官方提供的镜像安全上没有什么问题,也不会有后门。然后我尝试搜索一些关键词,比如Django,我发现官方并没有制作好的镜像,只有一些其他用户上传的镜像。请问如何辨别有没有后门呢?
已邀请:

xds2000 - 数人科技CTO

赞同来自: dockerlove123 shlallen


你的考虑是有道理的。目前在Hub上已经有一个Trust的标志, 比如 https://registry.hub.docker.com/_/centos/
你会在左上角看到一个“OFFICIAL REPO”,这说明是可以信赖的(严格意思上你只是信赖它的人品,而不是这个镜像真的是安全的。安全应该是由第三方测试后才能保证。安全总是相对的)。还有我们可以看到下载最多的一个镜像:https://registry.hub.docker.co ... mage/ ,即使它的下载非常多,但仍然不是认证的。所以,最稳妥的办法是自己做一个baseimage用。

meihuabo

赞同来自: dockerlove123 g0194776 zhou


你自己可以根据他们的Dockerfile自己构建镜像
Dockerfile里面留没留后门 那是可以看得出来的

shlallen - DaoCloud软件工程师,合伙人

赞同来自:


非常赞同楼上的说法。

noprom - 95后

赞同来自:


看Dockerfile是个好方法

要回复问题请先登录注册