Docker内での脆弱性対応について皆さんどのように対策してるか聞きたくご質問です。
たとえばつい最近あったglibcの脆弱性って
他に人がDockerhubにアップしたOSイメージは脆弱性対応してるかわからないので
社内専用で以下のようにBASEイメージを分けて作りました。
・BASE_UBUNTU(基本的なパッケージインストールしたイメージ)
・BASE_UNICORN(nginx,unicorn等ミドルウェアをインストールしたイメージ FROM BASE_UBUNTUにしてる)
・SERVICE_XX(FROM BASE_UNICORNにしてソースをデプロイしたイメージ)
こんな感じに分けてBASE_UBUNTUのほうに
glibcのパッケージをアップデートしてDocker Push
↓
BASE_UNICORN 再ビルド -> Docker Push
↓
SERVICE_XX順で再ビルド -> Docker Push
の順にして脆弱性対応をしています。
実際脆弱性対応をやるのはBASE_UBUNTUのみなので
脆弱性の対応を一本化してる感じはしますが、
階層ごとに最ビルドするは面倒な感じです。
もし、これより効率的に対応する方法がありましたら教えていただきたいです。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。