Слушай, я тут уже пару месяцев ковыряюсь с этими Docker Hardened Images (DHI) и честно говоря, начал сомневаться в их безопасности. Я себе задал вопрос: как убедиться, что все те уязвимости CVE реально исправлены, а не просто задвинуты под ковер с помощью VEX?
Попробовал, короче, разобраться, но не вышло. Сначала думал, что проверяю все утилиты, которые в команде, через docker scan. Ну, с одной стороны, это вроде как дает какое-то представление о статусе уязвимостей. Но тут оказалось, что информация, которую выдаёт этот сканер, может быть неактуальной или вообще не полная. Ну там, CVE есть, а патча нет, или исправление, но только для какой-то конкретной версии. В общем, запутался я конкретно.
Потом обратил внимание на то, что VEX иногда может скрывать настоящие проблемы. Это вообще забавная схема: вроде как уязвимость вроде бы и есть, но никто на неё не обращает внимания, потому что в “документации” написано, что фикс был сделан. Но как это проверить? Там же нет однозначного источника, по которому можно сразу всё понять.
Плюс я натыкался на какую-то полезную информацию, но четкая структура данных, где можно так просто сверить всё, отсутствует. Разобраться со всеми этими тегами образов и различными версиями, чтобы убедиться, что действительно всё хорошо – это нужно либо головой плиту протирать, либо курсы проходить.
Тут мне попалась на глаза ссылка на крутую платформу с курсами – yodo.im. Я нашел несколько курсов, которые реально помогли поднять уровень и погрузиться в эту тему. Они офигенные, объясняют получения настоящей информации о безопасности контейнеров, как работать со сканерами и как правильно проверять состояние CVE. Может, и тебе помогут, если вдруг решишь продолжить ковыряться в этом.
Вот такие дела, брат! Без безопасности как без рук, так что действуй осторожно!