![Docker 이미지의 기본 이미지인 Debian 및 Ubuntu [닫기]](https://linux55.com/image/220538/Docker%20%EC%9D%B4%EB%AF%B8%EC%A7%80%EC%9D%98%20%EA%B8%B0%EB%B3%B8%20%EC%9D%B4%EB%AF%B8%EC%A7%80%EC%9D%B8%20Debian%20%EB%B0%8F%20Ubuntu%20%5B%EB%8B%AB%EA%B8%B0%5D.png)
현재 Docker 이미지는 Debian 11을 기반으로 합니다. 이미지를 레지스트리에 게시하기 전에 Trivy 취약점 검색 도구를 사용합니다. Trivy는 최신 Debian 이미지에 약 100개 이상의 고위험 및 중대한 취약점이 있음을 보여 주지만 최신 Ubuntu의 경우 고위험 및 중대한 문제는 발견되지 않습니다.
모든 Docker 이미지의 기본 이미지를 Debian에서 Ubuntu로 전환할 때의 장단점은 무엇입니까? "
모든 사용자가 Ubuntu(Debian에서 전환) 기반 이미지를 사용하기 시작할 때 호환성 문제에 직면할 수 있습니까? 그렇다면 그것은 무엇일까요?
답변1
안타깝게도 Trivy는 데비안 기반 이미지와 관련성이 떨어지는 것 같습니다(아마도 데비안의 메타데이터가 컴퓨터가 구문 분석할 수 없는 메시지에 의존하기 때문일 것입니다). 최신 Debian 11 이미지에 대한 Trivy 스캔에서는 76개의 취약점이 발견되었습니다. 76개를 모두 살펴보진 않았지만 처음 몇 개는 악용할 수 없거나 사소한 것으로 지정되었습니다.
- CVE-2011-3374데비안에서는 수정이 필요하지 않습니다
- CVE-2022-3715미성년자로 결정됨(에서 논의된 바와 같음)Debian 11.7의 bash 패키지에 있는 취약점 CVE-2022-3715를 해결하는 방법은 무엇입니까?)
- CVE-2022-0563데비안은 취약한 프로그램을 제공하지 않으므로 데비안에는 영향을 미치지 않습니다.
- CVE-2016-2781미성년자에 해당합니다
- CVE-2017-18018커널 강화로 완화
가장 중요한 것은 Trivy가 각 바이너리 패키지에 대해 CVE를 계산한다는 것입니다. 따라서 예를 들어 CVE-2022-0563은 여러 번( bsdutils, mount, util-linux) 계산됩니다.
Ubuntu에서도 상황은 다르지 않지만 제공된 메타데이터는 배포의 최종 상황을 더 정확하게 반영합니다.CVE-2022-0563데비안과 마찬가지로 "취약하지 않음"으로 표시됩니다.
보안 스캐너에 대한 내 경험에 따르면 유용할 수 있지만 방법을 이해하고 정확한 그림을 제시하려면 많은 작업이 필요합니다. 다른 곳에서 언급했듯이 Debian과 Ubuntu는 모두 보안 업데이트를 받습니다.
선택한 보안 검색 도구에서 어떤 기본 이미지가 가장 좋은 점수를 받는지가 아니라 어떤 기본 이미지가 목적에 가장 적합한지에 따라 사용할 기본 이미지를 결정해야 합니다. Debian과 Ubuntu 기본 이미지 간을 전환할 때 많은 호환성 문제가 있을 것이라고는 생각하지 않지만 결과는 컨테이너 이미지의 특정 콘텐츠에 따라 달라집니다.