在构建码头工人对于我们的应用程序来说,我们经常关心两件事:安全性和图像的大小。传统上,我们使用集装箱安全扫描用于检测和修补的工具常见的漏洞和暴露和小的分布,如高山Linux以解决图像大小和分布性能。但随着安全威胁的增加,消除所有可能的攻击载体比以往任何时候都更加重要。这就是为什么distroless码头工人的图片正在成为部署容器的默认选择。无Distroless Docker映像通过抛弃完整的操作系统发行版来减少占用空间和依赖。该技术降低了安全扫描噪声和应用程序攻击面。此外,需要修补的漏洞更少,而且这些较小的图像效率更高。谷歌出版了一套distroless集装箱的图片为不同的语言。您可以使用谷歌构建工具创建无分发的应用程序映像巴泽尔或者简单地使用多级Dockerfiles。注意,默认情况下,无发布容器没有用于调试的shell。但是,您可以很容易地在网上找到无distroless容器的调试版本,包括BusyBox壳.无Distroless Docker图像是谷歌首创的技术,根据我们的经验,它仍然主要局限于Google生成的图像。如果有不止一个供应商可供选择,我们会更放心。此外,申请时要谨慎Trivy或类似的漏洞扫描器,因为无distroless容器仅在较新的版本中得到支持。
在构建码头工人对于我们的应用程序来说,我们经常关心两件事:安全性和图像的大小。传统上,我们使用集装箱安全扫描用于检测和修补的工具常见的漏洞和暴露和小的分布,如高山Linux以解决图像大小和分布性能。我们现在有了更多的经验distroless码头工人的图片并且准备推荐这种方法作为容器化应用程序的另一种重要的安全预防措施。无Distroless Docker映像通过抛弃完整的操作系统发行版来减少占用空间和依赖。该技术降低了安全扫描噪声和应用程序攻击面。需要修补的漏洞更少,而且这些较小的图像效率更高。谷歌出版了一套distroless集装箱的图片为不同的语言。您可以使用谷歌构建工具创建无分发的应用程序映像巴泽尔或者简单地使用多级Dockerfiles。注意,默认情况下,无发布容器没有用于调试的shell。但是,您可以很容易地在网上找到无distroless容器的调试版本,包括BusyBox壳.无Distroless Docker图像是谷歌首创的技术,根据我们的经验,它仍然主要局限于Google生成的图像。我们希望这项技术能在这个生态系统之外流行起来。
在构建码头工人对于我们的应用程序来说,我们经常关心两件事:安全性和图像的大小。传统上,我们使用集装箱安全扫描用于检测和修补的工具常见的漏洞和暴露和小的分布,如高山Linux以解决图像大小和分布性能。在这个雷达中,我们很高兴能够解决集装箱的安全性和尺寸问题,使用一种叫做distroless码头工人的图片,由谷歌首创。使用这种技术,映像占用的空间减少到应用程序、其资源和语言运行时依赖项,而不需要操作系统分发。这种技术的优点包括降低安全扫描器的噪声,更小的安全攻击面,减少修补漏洞的开销,甚至更小的图像尺寸以获得更高的性能。谷歌出版了一套distroless集装箱的图片为不同的语言。您可以使用谷歌构建工具创建无分发的应用程序映像巴泽尔,它提供了创建无distroless容器或简单地使用多级Dockerfiles的规则。注意,默认情况下,无发布容器没有用于调试的shell。但是,您可以很容易地在网上找到无distroless容器的调试版本,包括busybox壳.