Enable javascript in your browser for better experience. Need to know to enable it? Go here.
radar blip
radar blip

Imágenes Docker sin distribución

La información en esta página no se encuentra completamente disponible en tu idioma de preferencia. Muy pronto esperamos tenerla completamente disponible en otros idiomas. Para obtener información en tu idioma de preferencia, por favor descarga el PDF aquí.
Última actualización : Apr 13, 2021
NO EN LA EDICIÓN ACTUAL
Este blip no está en la edición actual del Radar. Si ha aparecido en una de las últimas ediciones, es probable que siga siendo relevante. Si es más antiguo, es posible que ya no sea relevante y que nuestra valoración sea diferente hoy en día. Desgraciadamente, no tenemos el ancho de banda necesario para revisar continuamente los anuncios de ediciones anteriores del Radar. Entender más
Apr 2021
Trial ? Vale la pena intentarlo. Es importante entender cómo construir esta habilidad. Las empresas deberían implementar esta tecnología en un proyecto que pueda manejar el riesgo.

Cuando se construyen imágenes Docker para las aplicaciones, usualmente nos preocupan dos cosas: la seguridad y su tamaño. Tradicionalmente hemos usado herramientas de escaneo de seguridad en contenedores para detectar y corregir vulnerabilidades y riesgos comunes, y distribuciones pequeñas como Alpine Linux para resolver el tema del tamaño de la imagen y del rendimiento de la distribución. Pero con el aumento de las amenazas de seguridad, eliminar todos los posibles vectores de ataque es más importante que nunca. Es por esto que las imágenes Docker sin distribución se están convirtiendo en la opción predeterminada para contenedores para despliegue. Este tipo de imágenes reducen el tamaño y las dependencias suprimiendo las distribuciones de sistemas operativos completos. Esta técnica reduce el ruido en los escaneos de seguridad y la superficie de ataque a la aplicación: hay menos vulnerabilidades que corregir y, como extra, estas imágenes son más eficientes. Google ha publicado un conjunto de imágenes de contenedor sin distribución para diferentes lenguajes. Se pueden crear imágenes para aplicación sin distribución usando la herramienta de construcción Bazel de Google o simplemente usando Dockerfiles multistage. Hay que tener en cuenta que los contenedores sin distribución no tienen un intérprete de comandos (shell) para depurar. Sin embargo es fácil encontrar en línea versiones de contenedores sin distribución habilitados para la depuración que incluyen a BusyBox como intérprete de comandos. Google ha sido pionero en esta técnica y, en nuestra experiencia, sigue limitada en gran medida a las imágenes generadas por ellos. Nos sentiríamos mejor si existiera más de un proveedor para elegir. Además, se debe tener precaución al correr Trivy o escáneres de vulnerabilidades similares, ya que solamente sus versiones más recientes son compatibles con este tipo de contenedores.

Oct 2020
Trial ? Vale la pena intentarlo. Es importante entender cómo construir esta habilidad. Las empresas deberían implementar esta tecnología en un proyecto que pueda manejar el riesgo.

Cuando se construyen imágenes de Docker para las aplicaciones, usualmente nos preocupan dos cosas: la seguridad y su tamaño. Tradicionalmente hemos usado herramientas de escaneo de seguridad en contenedores para detectar y corregir vulnerabilidades y riesgos comunes y distribuciones pequeñas como Alpine Linux para resolver el tema del tamaño de la imagen y del rendimiento de la distribución. Hemos ganado más experiencia con imágenes Docker sin distribución y estamos listos para recomendar esta estrategia como otra importante medida de seguridad para aplicaciones contenerizadas. Este tipo de imágenes para Docker reducen el tamaño y las dependencias suprimiendo las distribuciones de sistemas operativos completos. Esta técnica reduce el ruido en los escaneos de seguridad y la superficie de ataque a la aplicación: hay menos vulnerabilidades que hay que corregir y, como extra, estas imágenes son más eficientes. Google ha publicado un conjunto de imágenes de contenedor sin distribución para diferentes lenguajes. Se pueden crear imágenes para aplicación sin distribución utilizando la herramienta de construcción Bazel de Google o utilizando simplemente Dockerfiles multistage. Hay que notar que los contenedores sin distribución no tienen un shell para depurar. Sin embargo es fácil encontrar en línea versiones de contenedores sin distribución habilitadas para la depuración que incluyen el shell BusyBox. Google ha sido pionero en esta técnica y, según nuestra experiencia, sigue estando confinada a imágenes generadas por Google. Esperamos que esta técnica se extienda por fuera de este ecosistema.

Nov 2018
Assess ? Vale la pena explorarlo con el objetivo de entender cómo afectará a tu empresa.

When building Docker images for our applications, we're often concerned with two things: the security and the size of the image. Traditionally, we've used container security scanning tools to detect and patch common vulnerabilities and exposures and small distributions such as Alpine Linux to address the image size and distribution performance. In this Radar, we're excited about addressing the security and size of containers with a new technique called distroless docker images , pioneered by Google. With this technique, the footprint of the image is reduced to the application, its resources and language runtime dependencies, without operating system distribution. The advantages of this technique include reduced noise of security scanners, smaller security attack surface, reduced overhead of patching vulnerabilities and even smaller image size for higher performance. Google has published a set of distroless container images for different languages. You can create distroless application images using the Google build tool Bazel, which has rules for creating distroless containers or simply use multistage Dockerfiles. Note that distroless containers by default don't have a shell for debugging. However, you can easily find debug versions of distroless containers online, including a busybox shell.

Publicado : Nov 14, 2018

Descargar Radar Tecnológico Volumen 29

 

English | Español | Português | 中文

Mantente informado sobre la tecnología

 

Suscríbete ahora

Visita nuestro archivo para leer los volúmenes anteriores