Debian Vs Ubuntu作为码头形象的基本形象

Question

我们当前的对接图像基于Debian 11。在将图像发布到注册表之前，我们使用Trivy漏洞扫描工具。Trivy显示Debian最新图片中有大约100多个高和关键的漏洞，但是对于Ubuntu最新版本，我们没有看到任何高和关键的问题。

从Debian切换到Ubuntu作为我们所有码头形象的基本形象有哪些优点和缺点？“

在所有用户开始使用基于Ubuntu (从Debian切换)的映像时，是否有可能面临兼容性问题？如果是的话，那可能是什么？

Answer 1

不幸的是，Trivy似乎并不完全适用于基于Debian的图像(可以说是因为Debian的元数据依赖于不可机器分析的消息)。对最新Debian 11图像标记76个漏洞的Trivy扫描；我还没有查看过所有76个漏洞，但前几个漏洞是不可利用的，或者被限定为次要漏洞：

• CVE-2011-3374不需要在Debian中修复
• CVE-2022-3715被限定为次要的(如如何解决Debian 11.7中bash包的CVE-2022-3715漏洞？中所讨论的)
• CVE-2022-0563不影响Debian，因为Debian不发布易受攻击的程序
• CVE-2016-2781被限定为未成年人
• CVE-2017-18018通过内核硬化得到缓解

除此之外，Trivy还计算每个二进制包的CVEs，例如CVE-2022-0563被多次计数(bsdutils、mount、util-linux)。

Ubuntu中的情况并不完全不同，但所提供的元数据更准确地反映了发行版中的最终情况；例如，请参见标记为“不易受攻击”的CVE-2022-0563，与Debian的情况完全相同。

我在安全扫描器方面的经验是，它们可能很有用，但要理解它们的方法并获得准确的图像需要相当多的工作。正如其他地方所提到的，Debian和Ubuntu都会收到安全更新。

您应该根据您的决定使用哪一个基本映像最适合您的目的，而不是哪一个基本图像得到最好的评分在任何安全扫描工具您已经选择。我不认为Debian和Ubuntu基本映像之间会出现很多兼容性问题；但是结果将取决于容器映像的特定内容。