web-dev-qa-db-ja.com

Dockerイメージのメルトダウンを軽減するにはどうすればよいですか?

https://meltdownattack.com/ では、Dockerコンテナを使用するシナリオ(場合によっては?)にも脆弱性があることが推奨されます。

私は2つの異なる目的でDockerを使用している開発者です。

  • GitLab CI/CDでビルドステップを実行するために使用されるイメージ
  • クラウドで本番環境で実行されているいくつかのイメージ(AzureおよびAWS)

これらのイメージは、最終的にはアルパイン、Debian、Ubuntuのいずれかに基づいたものの組み合わせです。多くの場合、私のDockerfileは、たとえばフロントエンドビルド用のNodejs/NPMを使用したイメージなど、中間イメージに基づいています。

ベースOS(Debianなど)が最新のアップデートでパッチを適用していると仮定すると、自分のイメージを最新の状態にするための推奨される方法は何ですか?たとえば、現在node:8.9.4を使用している場合、問題を修正する新しいタグを監視して待機する必要がありますか?

47
Jeroen

Meltdownに対するパッチはカーネルのみです。 Dockerコンテナーは、ホストシステムのカーネル内で実行されます。つまり、メルトダウンに対する耐性はホストカーネルのみに依存します。つまり、DockerイメージのMeltdownに対するパッチは必要なく、DockerイメージのMeltdownに対するパッチは適用できません。

85
Steffen Ullrich