distrolessは、Googleが提供している、本当に必要な依存のみが含まれているcontainer imageです。そこにはaptはおろかshellも含まれておらず、非常にサイズの小さいimageとなっています。余計なプログラムが含まれていないことは attack surfaceの縮小にも繋がり、コンテナのセキュリティについての事業を展開しているSysdig社が公開しているDockerfileのベストプラクティスとしてもdistroless imageを使うことが推奨されています。 Dockerfileのベストプラクティス Top 20 | Sysdig 軽量Dockerイメージに安易にAlpineを使うのはやめたほうがいいという話 - inductor’s blog また先日、inductorさんがこのようなブログ記事を書き話題になりました。この記事からdistroless ima
![distroless imageを実用する | うなすけとあれこれ](https://cdn-ak-scissors.b.st-hatena.com/image/square/6d7985d581dc07653873867add22e0680ac2f6f9/height=288;version=1;width=512/https%3A%2F%2Fblog.unasuke.com%2Fimages%2F2021%2Fdistroless-bazel-run-b38abbc4.png)