Master

As informações desta página não estão completamente disponíveis no seu idioma de escolha. Esperamos disponibiliza-las integralmente em outros idiomas em breve. Para ter acesso às informações no idioma de sua preferência, faça o download do PDF aqui.

Técnicas

Imagens Docker sem distribuição

Published: Nov 14, 2018
Last Updated: Apr 13, 2021
Apr 2021
Experimente?

Ao criar imagens do Docker para nossas aplicações, geralmente temos duas preocupações: a segurança e o tamanho da imagem. Tradicionalmente, usamos ferramentas de escaneamento de segurança de contêiner para detectar e corrigir vulnerabilidades e exposições comuns, e pequenas distribuições como Alpine Linux para tratar do tamanho da imagem e do desempenho da distribuição. Mas com o aumento das ameaças à segurança, eliminar todos os vetores de ataque possíveis se tornou mais importante do que nunca. É por isso que as imagens Docker sem distribuição estão se tornando a escolha padrão para contêineres de implantação. Imagens do Docker sem distribuição reduzem o rastro e as dependências ao eliminar uma distribuição completa do sistema operacional. Essa técnica reduz o ruído da verificação de segurança e a superfície de ataque da aplicação. São menos vulnerabilidades a serem corrigidas e, como bônus, essas imagens menores são mais eficientes. O Google publicou um conjunto de imagens de contêiner sem distribuição para diferentes linguagens. Você pode criar imagens de aplicações sem distribuição usando a ferramenta de construção do Google Bazel ou simplesmente usar Dockerfiles de vários estágios (multistage). Observe que os contêineres sem distribuição, por padrão, não têm um shell para depuração. No entanto, você pode encontrar facilmente versões de depuração de contêineres sem distribuição online, incluindo um shell BusyBox. O uso de imagens do Docker sem distribuição é uma técnica pioneira do Google e, em nossa experiência, ainda é muito restrita a imagens geradas pela empresa. Ficaríamos mais confortáveis se houvesse mais de uma provedora para escolhermos. Além disso, tenha cuidado ao aplicar Trivy ou scanners de vulnerabilidade semelhantes, uma vez que contêineres sem distribuição são suportados apenas em versões mais recentes.

Oct 2020
Experimente?

Ao criar imagens do Docker para nossas aplicações, geralmente temos duas preocupações: a segurança e o tamanho da imagem. Tradicionalmente, usamos ferramentas de escaneamento de segurança de contêiner para detectar e corrigir vulnerabilidades e exposições comuns, e pequenas distribuições como Alpine Linux para tratar do tamanho da imagem e do desempenho da distribuição. Agora, temos mais experiência com imagens do Docker sem distribuição e podemos recomendar essa abordagem como mais uma precaução de segurança importante para aplicações em contêineres. Imagens do Docker sem distribuição reduzem o rastro e as dependências ao eliminar uma distribuição completa do sistema operacional. Essa técnica reduz o ruído da verificação de segurança e a superfície de ataque da aplicação. São menos vulnerabilidades a serem corrigidas e, como bônus, essas imagens menores são mais eficientes. O Google publicou um conjunto de imagens de contêiner sem distribuição para diferentes linguagens. Você pode criar imagens de aplicações sem distribuição usando a ferramenta de construção do Google Bazel ou simplesmente usar Dockerfiles de vários estágios (multistage). Observe que os contêineres sem distribuição, por padrão, não têm um shell para depuração. No entanto, você pode encontrar facilmente versões de depuração de contêineres sem distribuição online, incluindo um shell BusyBox. O uso de imagens do Docker sem distribuição é uma técnica pioneira do Google e, em nossa experiência, ainda é muito restrita a imagens geradas pela empresa. Esperamos que a técnica avance para além deste ecossistema.

Nov 2018
Avalie?

When building Docker images for our applications, we're often concerned with two things: the security and the size of the image. Traditionally, we've used container security scanning tools to detect and patch common vulnerabilities and exposures and small distributions such as Alpine Linux to address the image size and distribution performance. In this Radar, we're excited about addressing the security and size of containers with a new technique called distroless docker images, pioneered by Google. With this technique, the footprint of the image is reduced to the application, its resources and language runtime dependencies, without operating system distribution. The advantages of this technique include reduced noise of security scanners, smaller security attack surface, reduced overhead of patching vulnerabilities and even smaller image size for higher performance. Google has published a set of distroless container images for different languages. You can create distroless application images using the Google build tool Bazel, which has rules for creating distroless containers or simply use multistage Dockerfiles. Note that distroless containers by default don't have a shell for debugging. However, you can easily find debug versions of distroless containers online, including a busybox shell.