Зброя Distroless

Reading time: 2 minutes

Що таке Distroless

Контейнер distroless - це тип контейнера, який містить лише необхідні залежності для запуску конкретного застосунку, без будь-якого додаткового програмного забезпечення або інструментів, які не є необхідними. Ці контейнери розроблені, щоб бути легкими та безпечними наскільки це можливо, і вони прагнуть мінімізувати поверхню атаки, видаляючи будь-які непотрібні компоненти.

Контейнери distroless часто використовуються в виробничих середовищах, де безпека та надійність є найважливішими.

Деякі приклади контейнерів distroless:

• Надано Google: https://console.cloud.google.com/gcr/images/distroless/GLOBAL
• Надано Chainguard: https://github.com/chainguard-images/images/tree/main/images

Зброя Distroless

Мета озброєння контейнера distroless полягає в тому, щоб мати можливість виконувати довільні бінарні файли та корисні навантаження, навіть з обмеженнями, які накладає distroless (відсутність загальних бінарних файлів у системі), а також захистами, які зазвичай зустрічаються в контейнерах, такими як тільки для читання або без виконання в /dev/shm.

Через пам'ять

Приблизно в якийсь момент 2023 року...

Через існуючі бінарні файли

openssl

****У цьому пості, пояснюється, що бінарний файл openssl часто зустрічається в цих контейнерах, можливо, тому що він **потрібен** програмному забезпеченню, яке буде працювати всередині контейнера.