Исходное сообщение
"Уязвимости в сканерах безопасности образов Docker-контейнеро..." Отправлено Аноним, 07-Сен-20 01:46
> Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы. Изначально-то это задумывалось не так. Микросервисные приложения и все тому подобное... Это потом, спустя годы оно превратилось в MSI для Linux. Виновато в этом отсутствие этого условного MSI. Можно его изобрести в будущем, но для этого придется сначала создать стандартизированную базовую систему, придумать что-то с безопасностью и там еще по-мелочи. И ведь дяди-меинтейнеры не понимают, что сопротивление бесполезно. Ах сколько я слышал про чудесные репозитории как панацея, о прекрасных "юниксвеях" и прочих религиозных войнах. Получите-распишитесь. Вам придумали "инсталляторы", причем те люди, кто меньше всего в этом смыслит. Кривые косые тяп-ляп, пока все поголовно отрицали нужность. Тезис на поразмыслить: любые доводы противников всегда разбиваются о существующее рабочее решение и продолжат разбиваться до тех пор пока не будет предъявлена альтернатива решающая задачу лучше. Поэтому докеры, поэтому системд и то ли еще будет... > А вот рут в контейнере - это практически рут на хосте. Уффф. Да это еще полбеды. Вы на capabilities в ядре посмотрите и прослезитесь и на атрибуты из прошлого века на ФС. Вас даже мандатный контроль не спасёт, включенный и в контейнере и на хосте от дурачка с докер-контейнером. С ростом популярности Linux, у него появляются пользователи. Пользователям в вопросах безопасности доверия нет, потому что они не администраторы и не понимают в этом ничего. Принципы и подходы к безопасности которые которые сложились в Linux за годы нужно пересматривать. Точка.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы. > Изначально-то это задумывалось не так. Микросервисные приложения и все тому подобное... > Это потом, спустя годы оно превратилось в MSI для Linux. Виновато > в этом отсутствие этого условного MSI. Можно его изобрести в будущем, > но для этого придется сначала создать стандартизированную базовую систему, придумать что-то > с безопасностью и там еще по-мелочи. > И ведь дяди-меинтейнеры не понимают, что сопротивление бесполезно. Ах сколько я слышал > про чудесные репозитории как панацея, о прекрасных "юниксвеях" и прочих религиозных > войнах. Получите-распишитесь. Вам придумали "инсталляторы", причем те люди, кто меньше > всего в этом смыслит. Кривые косые тяп-ляп, пока все поголовно отрицали > нужность. Тезис на поразмыслить: любые доводы противников всегда разбиваются о существующее > рабочее решение и продолжат разбиваться до тех пор пока не будет > предъявлена альтернатива решающая задачу лучше. Поэтому докеры, поэтому системд и то > ли еще будет... >> А вот рут в контейнере - это практически рут на хосте. > Уффф. Да это еще полбеды. Вы на capabilities в ядре посмотрите и > прослезитесь и на атрибуты из прошлого века на ФС. Вас даже > мандатный контроль не спасёт, включенный и в контейнере и на хосте > от дурачка с докер-контейнером. > С ростом популярности Linux, у него появляются пользователи. Пользователям в вопросах безопасности > доверия нет, потому что они не администраторы и не понимают в > этом ничего. Принципы и подходы к безопасности которые которые сложились в > Linux за годы нужно пересматривать. Точка.
	Введите код, изображенный на картинке: