Docker在构建映像时,应该使用系统库还是捆绑库
这是关于docker dev邮件列表的讨论摘要。
几乎所有程序都依赖于第三方库。最常见的是,它们使用动态链接和某种包依赖关系,因此当多个程序需要同一个库时,它只安装一次。
然而,有些程序将它们的第三方库捆绑在一起,因为它们依赖于这些库的特定版本。
在创建Docker镜像时,是使用捆绑的库更好,还是应该构建这些程序,让它们使用默认的系统库?
系统库的关键点不是节省磁盘或内存空间。这关乎安全。所有主要的发行版都通过拥有专门的安全团队、密切跟踪已发布的漏洞并自行披露建议来认真处理安全问题。(看看Debian安全信息中的这些过程的例子。)然而,上游开发人员并不总是实现类似的做法。
在设置Docker镜像从源代码编译程序之前,如果您想使用捆绑库,您应该检查上游作者是否提供了一种方便的方式来宣布安全漏洞,以及他们是否及时更新了捆绑库。如果他们不这样做,你就暴露了自己(以及你的图像用户)的安全漏洞。
同样,在使用其他人构建的包之前,您应该检查提供这些包的通道是否实现了类似的安全最佳实践。下载并安装“all-in-one” .deb或.rpm一开始听起来很棒,除非你无法确定它包含易受Heartbleed漏洞攻击的OpenSSL库的副本。
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
台积电11月营收2060.3亿新台币 同比环比均下降
消息称特斯拉Dojo超级计算机项目负责人已于11月份离职
AMD推出最新人工智能芯片挑战英伟达 股价飙升近10%
腾讯大股东Prosus再减持 今年4月以来套现超50亿美金
外媒:特斯拉Cybertruck具有“涉水模式” 可帮助车辆在水中行驶
华硕竟然推出了一款能装硬盘的显卡
外媒称特斯拉上海超级工厂37秒下线一辆整车 远快于得克萨斯超级工厂
消息称AMD Instinct MI300系列出货量预计将达到30-40万颗
更多
- 外媒称SK On也已开始研发4680电池 明年决定是否商业化生产
- 消息称苹果计划未来两到三年每年在印度生产超5000万部iPhone
- 三星显示可折叠显示屏市场份额有降低 京东方有望增至18%
- 法拉第未来即将交付两辆FF 91 2.0:一辆给自家员工 另一辆给Motev
- 台积电11月营收2060.3亿新台币 同比环比均下降
- 消息称特斯拉Dojo超级计算机项目负责人已于11月份离职
- 航拍显示一批国产右舵版焕新Model 3准备出口 已运送到码头
- SK海力士成立新部门AI Infra 负责人工智能半导体业务
- AMD推出最新人工智能芯片挑战英伟达 股价飙升近10%
- 外媒:特斯拉Cybertruck具有“涉水模式” 可帮助车辆在水中行驶