您如何知道公开的Docker镜像是安全的？

Question

我刚刚开始使用Docker，我看到docker hub repository上有很多可用的图片。似乎设置一个新的docker容器的正常方法是复制其中的一个图像，然后从那里开始。但是，我如何知道这些容器中没有恶意代码，或者它们不会以其他方式危害我的安全呢？

例如，如果我ssh到容器中，我如何知道容器中的OS不会(例如)捕获击键，或者出于其他目的劫持系统资源？

Answer 1

标记为“可信构建”的镜像是由Docker在其服务器上根据用户提供的源构建的。您可以轻松地检查构建镜像的Dockerfile，以检查恶意代码。

你还有Docker官方支持的“官方”镜像(那些不是以“somthing/”开头的镜像)。如果您信任Docker，inc，您就可以信任这些图像。

对于第三部分图像，不是来自可信构建，也不是来自Docker，那么您可以使用docker history <image>检查历史记录(在拉出它之后)，以了解它是如何构建的，但常识适用。它不能被信任。

Docker是出处的工作，所以我们应该很快就会看到CA证书检查和来源证明。在此之前，只需小心使用您检查过的可信构建或官方镜像。