在SaaS中生成由不受信任用户提供的Docker映像

Question

我正在构建一个类似于连续交付服务的多租户SaaS，我需要基于服务用户提供的源代码和Dockerfile构建一个Docker映像(用户不是组织的一部分，也不能以任何方式被信任)。

例如：

1. 服务的用户连接自己的Git存储库。
2. 我们的SaaS下载源代码(Ruby、JavaScript等)，并将Docker映像作为输出生成。
3. 部署了码头映像。

然而，我对步骤(2)有严重的安全顾虑.在服务器上有什么安全的方法在不受信任的Dockerfile/代码上执行docker build ？

是否有任何配置选项可以使Docker安全？

是否有与docker build不同的工具允许在共享环境(即多租户SaaS的服务器)中安全地构建保监处映像？

是否有任何SaaS允许您代表SaaS构建第三方代码？

否则，我应该启动和删除一个VM (例如，做液滴，EC2等)每次我需要建立码头形象..。但这似乎更复杂。

你有什么建议吗？您知道CircleCI或Travis使用什么策略来构建/运行不受信任的代码吗？

Answer 1

这是一个问题，任何类型的构建，不仅是码头形象，但它也适用，显然。构建脚本(Dockerfile或else)几乎可以做任何事情，如果不受信任，我认为没有办法使其安全。

因此，这些服务所做的正是您所描述的，它们在一个隔离的一次性环境中运行。这些有时被称为跑步者。我认为您唯一的安全选择是在专用的、干净的(如“刚开始”)的VM上运行它，然后将其删除。即便如此，在如何配置VM、允许哪些网络连接(例如到内部网络)等方面也要非常小心，因为如上所述，构建脚本可能会完全控制VM。(虽然完全控制可能是夸大的，因为您不需要将其作为根用户运行，但是考虑到恶意用户脱离隔离子环境(如chroot等)的风险-最好将其建模为完全控制)。

要把这件事做好并不容易。