Dockerfile不声明涉密信息

描述

不要在Dockerfile中存储任何涉密信息

隐患分析

通过使用Docker历史命令,可以查看各种工具和实用程序。 通常情况,镜像发布者提供Dockerfile来构建镜像。所以,Dockerfile中的涉密信息可能会被暴露并被恶意利用。

审计方式

第 1 步:运行以下命令以获取镜像列表:

```shell script $ docker images

第 2 步:对上面列表中的每个镜像运行以下命令,并查找是否有涉密信息:

```shell script
$ docker history <imageID>

如果有权访问镜像的Dockerfile,请确认没有涉密信息(不应该有涉密的信息,如用户账号,私钥证书等。)

修复建议

不要在Dockerfile中存储任何类型的涉密信息

参考文档

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:42

results matching ""

    No results matching ""