Що таке Дистролес

Контейнер Distroless - це тип контейнера, який містить лише необхідні залежності для запуску конкретного додатка, без будь-якого додаткового програмного забезпечення або інструментів, які не є обов'язковими. Ці контейнери призначені бути легкими та безпечними наскільки це можливо, і вони спрямовані на мінімізацію поверхні атаки, видаляючи будь-які зайві компоненти.

Контейнери Distroless часто використовуються в виробничих середовищах, де безпека та надійність є найважливішими.

Деякі приклади контейнерів Distroless:

• Надано Google: https://console.cloud.google.com/gcr/images/distroless/GLOBAL

• Надано Chainguard: https://github.com/chainguard-images/images/tree/main/images

Збройовий Дистролес

Метою збройованого контейнера Distroless є можливість виконання довільних бінарних файлів та навантажень навіть за обмежень, що випливають з Distroless (відсутність загальних бінарних файлів у системі) та також захистів, які часто зустрічаються в контейнерах, таких як тільки для читання або без виконання в /dev/shm.

Через пам'ять

З'явиться приблизно в 2023 році...

Через існуючі бінарні файли

openssl

****У цьому пості пояснюється, що бінарний файл openssl часто зустрічається в цих контейнерах, ймовірно, тому що він необхідний для програмного забезпечення, яке буде запущено всередині контейнера.

Зловживанням бінарним файлом openssl можливо виконати довільні дії.