タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
distrolessコンテナイメージの中を覗いて「なんか軽くてセキュアらしい」より理解を深める - エムスリーテックブログ
この記事はセキュリティチームブログリレー3日目 兼 AIチームブログリレー3日目の記事です。 こんにちは、セキュリティチーム 兼 AIチームの横本(@yokomotod)です。 今回は distroless コンテナイメージについて自由研究してみました。 エムスリーでもよく使われている gcr.io/distroless/static などの distroless イメージ、「シェルもパッケージマネージャもない最小限のイメージ」「軽量!なにもないから安全!」といった説明がされますが、今回は実際にその中身を確かめてみようと思います。 ブログリレーの前回記事はこちら www.m3tech.blog www.m3tech.blog コンテナベースイメージのおおまかな選択肢 scratch だけだと何が足りないか scratch で動かしてみる CGO_ENABLED=0 にしてみる distro
Node.js Docker baseイメージには alpine < distroless < ubuntu+slim 構成がよさそう
Node.js Docker baseイメージには alpine < distroless < ubuntu+slim 構成がよさそう はじめに この記事は、DockerCon 2022 で発表された Bret Fisher の "Node.js Rocks in Docker, DockerCon 2022 Edition" を参考にしています。 base イメージの選択肢に関する話は、動画の前半一部分だけですが、他にも Node.js で Dockerfile を書く時のベストプラクティスが数多くまとまっているので、是非チェックしてみてください。 node:alpine イメージを使わない base イメージサイズを小さく保ちたい、という点で気軽に利用される事が多い alpine イメージですが、Official の README には下記の記載があります。 This variant
この記事は はてなエンジニア Advent Calendar 2021 11日目の記事です。 コンテナのベースイメージとしてdistrolessを選択肢にするということがここ最近増えてきました。 そんなdistrolessを非rootユーザで使おうとしたらとても簡単だったのでその紹介です。 どのくらい簡単かというと、Goのアプリケーションであれば以下のように変えるだけで対応できます。(コメントアウト部分は元々のrootユーザで動かしていた場合のもの) FROM golang:1.17 as builder WORKDIR /go/src COPY go.mod go.sum . RUN go mod download COPY . . RUN go build -o /out/myapp . # FROM gcr.io/distroless/static:latest FROM gcr.i
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに NRI OpenStandia Advent Calendar 2021、15日目はコンテナ について考えます。 Linuxのコンテナ技術はプロダクション環境でも当たり前のように使われています。これに伴いコンテナ開発・運用の様々なベストプラクティスが提案されています。distrolessなコンテナもベストプラクティスとして提唱されているものの1つです。 本記事ではこのdistrolessなコンテナについて考えます。 #distrolessイメージを作成するでは実際にdistrolessなコンテナイメージを作成します。 dist
Debian12 bookwormの更新でハマった件もしくはAlpine Linuxからdistrolessへの乗り換え時の注意点 - ANDPAD Tech Blog
こんにちは もしくは こんばんわ! ANDPADボード プロダクトテックリードの原田 土屋(tomtwinkle)です 最近めでたく戸籍が代わり名字がリネームされました この記事はDebian12 bookwormが正式リリースされ、Debian11 Bullseyeが今までの流れでいうと来年辺りEOLになりそうな雰囲気なので今のうちに切り替えておこうと奮闘した記録とAlpine Linuxからdistrolessに変更したらKubernetesのpreStopが上手く動かなくなった件の対応をした記録の合せ技です。 TL;DR DockerのBuild base imageを Debian11 Bullseye から Debian12 bookworm にしただけで docker build がコケるようになったなら docker/buildx のversionを上げてみよう circle
What's Inside Distroless Container Images: Taking a Closer Look | iximiuz Labs
What's Inside Distroless Container Images: Taking a Closer Look GoogleContainerTools' distroless images are often mentioned as one of the ways to produce small(er), fast(er), and secure(r) containers. But what are these distroless images, really? What's the difference between a container image built from a distroless base and one built FROM scratch? Let's dive in! Why Do We Need Distroless Images?
distroless imageを実用する
distroless image distrolessは、Googleが提供している、本当に必要な依存のみが含まれているcontainer imageです。そこにはaptはおろかshellも含まれておらず、非常にサイズの小さいimageとなっています。余計なプログラムが含まれていないことは attack surfaceの縮小にも繋がり、コンテナのセキュリティについての事業を展開しているSysdig社が公開しているDockerfileのベストプラクティスとしてもdistroless imageを使うことが推奨されています。 また先日、inductorさんがこのようなブログ記事を書き話題になりました。この記事からdistroless imageのことを知った方も多いと思います。その中で僕が趣味で作った distroless-ruby を取り上げてくださり、ありがたいことに僕の所有しているものの
1. 導入 前提 筆者は数年前のalpine全盛期で知識が止まっていた。 alpineよりもdistrolessだよね!という話だけは知っていた。 イメージサイズが大きいことのデメリット デプロイの遅延: CI/CDパイプラインでのpush/pullに時間がかかる。 ストレージコストの増大: イメージレジストリの容量を圧迫する。 alpineでも小ささだけならかなりのもの(イメージサイズは8MB)だけど、distrolessは下記の大きなメリットがある。 distrolessとは Googleが提供する、アプリケーションの実行に必要な最小限のランタイムだけを含むDockerベースイメージ。 シェルすら含まないが、アプリケーションを動かす分にはあまり不自由しない。 セキュリティリスクの低減: 不要なライブラリやツール(シェル、パッケージマネージャ等)が含まれないので、攻撃対象領域(Attac
概要 distrolessは、Googleが提供している必要最小限の依存のみが含まれるDebian10(buster)を基に作成されたコンテナイメージです。 imageのサイズが本当に小さく、aptやshellさえも含まれておりません。 よくベースとして利用されるLinuxディストリビューションは、基本的な設定ファイルやパッケージが大体含まれます。(カーネルを除く) なので、実際使用しないような不要なファイルが多数含まれているのが現状です。 distrolessは、このような不要なファイルを削除し、本当に必要な最小限のファイルのみを含んだimageとなっております。 何が嬉しいのか 上記にも挙げたのですが、嬉しさポイントは以下の2点です。 セキュア => 本当に実行に必要なのファイルのみを含んだimageとなっているので、不要なバグや脆弱性を埋め込みにくいという点が、セキュアだといえます。
概要 distrolessは、Googleが提供している必要最小限の依存のみが含まれるDebian10(buster)を基に作成されたコンテナイメージです。 imageのサイズが本当に小さく、aptやshellさえも含まれておりません。 よくベースとして利用されるLinuxディストリビューションは、基本的な設定ファイルやパッケージが大体含まれます。(カーネルを除く) なので、実際使用しないような不要なファイルが多数含まれているのが現状です。 distrolessは、このような不要なファイルを削除し、本当に必要な最小限のファイルのみを含んだimageとなっております。 何が嬉しいのか 上記にも挙げたのですが、嬉しさポイントは以下の2点です。 セキュア => 本当に実行に必要なのファイルのみを含んだimageとなっているので、不要なバグや脆弱性を埋め込みにくいという点が、セキュアだといえます。
こんにちは、X(クロス)イノベーション本部 ソフトウェアデザインセンター・セキュリティグループの大西です。現在、DockerとTypeScriptを使ってシステムを開発中です。DockerのDistrolessイメージの中で、ORMのPrismaを使おうとするとエラーが出てハマってしまったので、エラー解消の方法についてお話ししたいと思います。 まずは少し、DistrolessイメージとPrismaについて説明します。 Distrolessイメージとは Googleが公開しているDistrolessイメージとは、アプリケーションの実行に必要な最小限のファイルのみが入っている超軽量なDockerイメージです。それゆえ、普通のOSに入っているようなパッケージマネージャーやシェルなどは入っていません。最も小さいサイズのものでgcr.io/distroless/static-debian11はたった
はじめに AWS ECS+ECRで動いているpythonのサービスがあった ただし、ECRのスキャン機能でものすごい数の脆弱性が出ていた... 1つずつ解消していくのは現実的ではないため、distrolessコンテナを導入することになった distrolessとは Googleが提供しているコンテナイメージ アプリケーションとそのランタイム依存関係のみ含まれる(=必要最小限) パッケージマネージャー、シェルなどは含まれない 導入メリットとして、①軽量であること、②セキュアであることが挙げられる やったことざっくりと 以前は「python:3.9.13-slim-buster」のイメージを使用してビルドしていた これを1段階目「python:3.9.13-slim-buster」→2段階目「gcr.io/distroless/python3」のマルチステージビルドにする 1段階目 パッケージ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
distrolessのnonrootイメージを使おう - Re:cohalz
セキュアで軽量なdistrolessコンテナを作成する - Qiita
![[レポート公開] そのAIツール、すでに情報を抜かれています。実在インシデントで判明したセキュリティ事故 8選](https://cdn-ak-scissors.b.st-hatena.com/image/square/c4ba26b5fc8f2a51bdd4e84960d4bb84858ae64d/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fprcdn.freetls.fastly.net%2Frelease_image%2F118521%2F68%2F118521-68-03ce3ea21fdf0537d9231555e3325d93-1280x720.png%3Fformat%3Djpeg%26auto%3Dwebp%26fit%3Dbounds%26width%3D2400%26height%3D1260)
alpineよりもdistrolessと言われて早何年経ち、今更ながら調べてみた
コンテナイメージ使うならdistrolessもいいよねという話 - Qiita
コンテナイメージ使うならdistrolessもいいよねという話
DistrolessイメージでPrismaを動かしてみた - 電通総研 テックブログ
Pythonのdistrolessコンテナを使って脆弱性を撲滅した話 - Qiita
girlsnews.tv
gendai.media
tanaka-heartful.com
masa23614.hatenablog.com
jrecin.jst.go.jp
news.yahoo.co.jp