La sécurité avec Docker – Chapitre 4 : Les images et les dépôts
Droits Unix sur les fichiers du conteneur :
Tout comme dans un système Linux/Unix classique, il faut faire attention aux droits sur les fichiers à l’intérieur du conteneur.
Quand vous construisez une image à partir d’un Dockerfile, les fichiers copiés de votre répertoire vers votre image sont copiés avec les mêmes droits. Du coup, un fichier trop permissif peut être problématique.
Images maisons :
Ne pas stocker de secrets dans les Dockerfiles ou dans les variables d’environnement.
Ne pas stocker de secrets dans les Dockerfiles ou dans les variables d’environnement (Mieux vaut le dire deux fois !).
Il est fortement conseillé d’automatiser la reconstruction des images automatiquement et régulièrement, et du même coup redémarrer des containers tout neufs.
Dans la mesure ou vous maîtrisez la chaîne du Build au Run, ça ne devrait pas être un problème ; les données utiles ne disparaissent pas puisqu’elles sont stockées dans des volumes.
Images d’un dépôt extérieur (Docker Hub, Docker Store ou autre)
Les images venant de l’extérieur doivent être vérifiées.
Docker dans son Hub et dans son Store indique les images officielles et vérifiées.
Les autres images doivent être vérifiées par vos soins (au même titre que les autres logiciels libres) en regardant si un dépôt Git est lié à cette image et ce qu’il contient.