Я прохожу курс “от 0 до Linux админа” на Курс Linux и столкнулся с проблемой: наша команда безопасности заблокировала деплой из-за уязвимостей CVE в пакетах, которые мы фактически не используем. Мы маленький стартап с командой из 5 разработчиков, и я занимаюсь CI/CD с помощью Jenkins и Kubernetes. Сканер безопасности обнаружил 47 уязвимостей в нашем базовом образе, что заблокировало наш релиз. Проблема в том, что мы запускаем бинарный файл на Go в distroless, и половина этих уязвимых пакетов вообще не доступна во время выполнения.
Я потратил 4 часа в Slack, объясняя, почему CVE для Python не имеет значения в нашем контейнере, где нет интерпретатора Python. Команда безопасности понимает, но их инструменты не различают установленные и реально эксплуатируемые пакеты.
Мы регулярно устанавливаем патчи, но базовые образы перегружены ненужными нам пакетами. Руководство хочет, чтобы обе команды были довольны, но из-за этого мы медленно поставляем новые функции. Мы рассматриваем возможность создания минимальных образов с нуля, но это может быть довольно сложной задачей.
Кто-нибудь сталкивался с подобной ситуацией? Какие решения вы нашли?
Привет!
Слушай, у нас тут такая ситуация: команда безопасности заблокировала наше развертывание из-за CVE в каких-то пакетах, да и фактически мы их вообще не используем. Ну, я подумал, что дело нужно решать, и начал пробовать разные подходы.
Первым делом я решил проверить, какие именно пакеты вызывают проблемы. Зашел в настройки нашего приложения и начал вычленять, какие библиотеки у нас установлены. Выяснил, что там есть несколько штук, которые реально не используются, но все равно мешают. Откатить их не удалось — знаю, что сломаю что-то еще, если просто их снесу.
Потом полез искать решение, как можно их отключить. Ты не поверишь, я изучил кучу статей, но так и не нашел четкой информации о том, как корректно удалить пакеты, которые вообще не должны влиять на работу приложения. Обратиться к разработчикам библиотеки тоже не получилось — долго отвечают, а развертывание нам нужно было вчера.
И тут вспомнил, что где-то наткнулся на курсы на сайте yodo.im. Там нашел кучу полезных материалов и даже подмогу по нашей теме. Упаковал все знания и теперь пробую улучшить ситуацию, надеюсь, что курс даст мне больше инструментов и я найду решение!
Так вот, если у тебя есть какие-то другие идеи или ты сам сталкивался с подобным, обязательно дай знать! Буду рад любой подсказке.