Das Container -Scan hat zu viele Betriebssystemfehler - wie soll ich es verwalten? [geschlossen] ⇐ Linux

[Anonymous]

Wir verwenden Container, um unsere Enterprise -Anwendung zu hosten. Das Problem ist, dass jeder Sicherheitscan mit Trivy Fehler erzeugt, die schwer zu analysieren sind, da Komponenten, die in der Anwendung nicht verwendet werden, immer Sicherheitsprobleme haben.

Code: Select all

# Use the official Debian Slim image as the base
FROM debian:bookworm-slim

# Set environment variables to reduce noise and improve container performance
ENV DEBIAN_FRONTEND=noninteractive \
PYTHONDONTWRITEBYTECODE=1 \
PYTHONUNBUFFERED=1 \
PIP_NO_CACHE_DIR=1

# Update the package list, install security updates, and install minimal necessary packages
# Clean up in the same RUN command to reduce layer size
RUN apt-get update && \
apt-get upgrade -y && \
apt-get install -y --no-install-recommends \
python3-minimal \
python3-pip \
python3-venv \
ca-certificates && \
apt-get clean && \
rm -rf /var/lib/apt/lists/*

# Create a virtual environment
RUN python3 -m venv /opt/venv

# Make sure we use the virtualenv
ENV PATH="/opt/venv/bin:$PATH"

# Install youtube-dl using pip in the virtual environment with latest setuptools and pip
RUN pip install --no-cache-dir --upgrade pip setuptools && \
pip install --no-cache-dir youtube-dl

# Set the entrypoint to use youtube-dl from the virtual environment
ENTRYPOINT ["/opt/venv/bin/youtube-dl"]

Stellen wir uns vor, dass YouTube-DL-PIP-Modul und Python3 die laufenden Dienste hier sind. Tag. CVE-2005-2541 < /li>
< /ul>
usw. YouTube-DL-Abhängigkeiten von Drittanbietern. Filtern Sie alle bis auf diese im Trivy -Bericht heraus. /> Eine Art (bezahlter) SCA -Scanner, der "weiß", welche Binärdateien und dynamischen Systembibliotheken, die tatsächlich zur Laufzeit ausgeführt werden, und ignoriert Sicherheitsprobleme darin. < /li>
< /ol>
Was tun Sie? Wie gehen Sie mit diesen Problemen um? Sie gelten natürlich nicht nur für Container, sondern auch für On-Prem-Server.