【ITBEAR科技資訊】4月10日消息,幾乎所有程序都依賴于第三方庫。最常見的是,它們使用動態鏈接和某種包依賴關系,因此當多個程序需要同一個庫時,它只安裝一次。然而,有些程序將它們的第三方庫捆綁在一起,因為它們依賴于這些庫的特定版本。
在創建Docker鏡像時,是使用捆綁的庫更好,還是應該構建這些程序,讓它們使用默認的系統庫?如果您想使用捆綁庫,那么在設置Docker鏡像從源代碼編譯程序之前,您應該檢查上游作者是否提供了一種方便的方式來宣布安全漏洞,以及他們是否及時更新了捆綁庫。據ITBEAR科技資訊了解,如果他們不這樣做,你就暴露了自己(以及你的圖像用戶)的安全漏洞。
然而,系統庫的關鍵點不是節省磁盤或內存空間。這關乎安全。所有主要的發行版都通過擁有專門的安全團隊、密切跟蹤已發布的漏洞并自行披露建議來認真處理安全問題。看看Debian安全信息中的這些過程的例子。然而,上游開發人員并不總是實現類似的做法。
在使用其他人構建的包之前,您應該檢查提供這些包的通道是否實現了類似的安全最佳實踐。下載并安裝“all-in-one” .deb或.rpm一開始聽起來很棒,除非你無法確定它包含易受Heartbleed漏洞攻擊的OpenSSL庫的副本。因此,我們在使用第三方庫時應該保持警惕,確保其安全性,以免因為漏洞而導致信息泄露或其他安全問題的出現。
