👾 Критические уязвимости в контейнерных образах — о которых забывают Контейнер ≠ безопасность. Контейнер — это упаковка. А если внутрь уже попали уязвимости — они поедут в прод вместе с образом. Вот 10 типичных проблем, которые регулярно встречаются в Docker-образах 1️⃣Запуск контейнера от root Если сервис скомпрометирован — атакующий получает максимальные привилегии внутри контейнера. Решение: использовать USER и отдельного непривилегированного пользователя. 2️⃣Использование latest FROM ubuntu:latest — это не версия, это неопределённость. Сегодня одно поведение, завтра другое. Решение: фиксировать конкретную версию или digest. 3️⃣Секреты в Dockerfile Токены, API-ключи, пароли через ARG или ENV — остаются в слоях образа навсегда. Решение: Docker secrets, Vault, переменные окружения на runtime. 4️⃣Устаревшие базовые образы Старый base image = десятки CVE на уровне ОС. Решение: регулярно пересобирать образы и сканировать их. 5️⃣Лишние пакеты Каждый установленный пакет — это потенциальная поверхность атаки. Решение: multi-stage build и минимальные образы (slim, alpine, distroless). 6️⃣Необновляемые зависимости Даже если код не менялся — уязвимости появляются в зависимостях. Решение: автоматические rebuild + scanning в CI. 7️⃣Жёстко закодированные конфиги Конфигурации и ключи в слоях — легко извлекаются. 8️⃣Неправильные права на файлы Чрезмерные permissions внутри контейнера — риск утечки. 9️⃣Отсутствие health-check Контейнер может «работать», но фактически быть сломанным. 1️⃣0️⃣Нет автоматического сканирования Образ ушёл в прод без проверки — вы просто надеетесь на удачу. Безопасность контейнеров — это процесс: Build → Scan → Fix → Enforce → Monitor Если нет автоматизации и политики — это не безопасность, а иллюзия. Linux | Network | DevOps 😍 Чат 🌐 YouTube 🌐 VK 🌐 Rutube 📺 #docker #devops