我们希望避免在dockerfiile中包含“yum update”,因为它可以根据何时构建docker镜像生成不同的容器,但显然如果需要更新基本系统,这可能会带来一些安全问题.真正拥有组织范围的基本系统映像并更新的最佳选择是什么？问题在于,每次应用安全更新时,都需要在整个组织中重建和部署所有应用程序.

对我来说似乎有点不同的替代方法是简单地忽略容器内的安全更新,只关心它们在主机上.这里的思考过程是,对于攻击者进入容器,需要在主机上存在漏洞,docker-engine中的另一个漏洞才能进入容器,然后是另一个利用漏洞利用内容的漏洞.容器,这似乎是一系列令人难以置信的事件.随着用户命名空间和seccomp配置文件的引入,这似乎进一步降低了风险.

无论如何,我如何处理容器内的安全更新,对CI / CD管道的影响最小,或者理想情况下不必每隔一段时间重新部署整个基础架构？