Cuando se construyen im¨¢genes Docker para las aplicaciones, usualmente nos preocupan dos cosas: la seguridad y su tama?o. Tradicionalmente hemos usado herramientas de escaneo de seguridad en contenedores para detectar y corregir , y distribuciones peque?as como para resolver el tema del tama?o de la imagen y del rendimiento de la distribuci¨®n. Pero con el aumento de las amenazas de seguridad, eliminar todos los posibles vectores de ataque es m¨¢s importante que nunca. Es por esto que las im¨¢genes Docker sin distribuci¨®n se est¨¢n convirtiendo en la opci¨®n predeterminada para contenedores para despliegue. Este tipo de im¨¢genes reducen el tama?o y las dependencias suprimiendo las distribuciones de sistemas operativos completos. Esta t¨¦cnica reduce el ruido en los escaneos de seguridad y la superficie de ataque a la aplicaci¨®n: hay menos vulnerabilidades que corregir y, como extra, estas im¨¢genes son m¨¢s eficientes. Google ha publicado un conjunto de para diferentes lenguajes. Se pueden crear im¨¢genes para aplicaci¨®n sin distribuci¨®n usando la herramienta de construcci¨®n de Google o simplemente usando Dockerfiles multistage. Hay que tener en cuenta que los contenedores sin distribuci¨®n no tienen un int¨¦rprete de comandos (shell) para depurar. Sin embargo es f¨¢cil encontrar en l¨ªnea versiones de contenedores sin distribuci¨®n habilitados para la depuraci¨®n que incluyen a como int¨¦rprete de comandos. Google ha sido pionero en esta t¨¦cnica y, en nuestra experiencia, sigue limitada en gran medida a las im¨¢genes generadas por ellos. Nos sentir¨ªamos mejor si existiera m¨¢s de un proveedor para elegir. Adem¨¢s, se debe tener precauci¨®n al correr Trivy o esc¨¢neres de vulnerabilidades similares, ya que solamente sus versiones m¨¢s recientes son compatibles con este tipo de contenedores.
Cuando se construyen im¨¢genes de Docker para las aplicaciones, usualmente nos preocupan dos cosas: la seguridad y su tama?o. Tradicionalmente hemos usado herramientas de escaneo de seguridad en contenedores para detectar y corregir y distribuciones peque?as como para resolver el tema del tama?o de la imagen y del rendimiento de la distribuci¨®n. Hemos ganado m¨¢s experiencia con im¨¢genes Docker sin distribuci¨®n y estamos listos para recomendar esta estrategia como otra importante medida de seguridad para aplicaciones contenerizadas. Este tipo de im¨¢genes para Docker reducen el tama?o y las dependencias suprimiendo las distribuciones de sistemas operativos completos. Esta t¨¦cnica reduce el ruido en los escaneos de seguridad y la superficie de ataque a la aplicaci¨®n: hay menos vulnerabilidades que hay que corregir y, como extra, estas im¨¢genes son m¨¢s eficientes. Google ha publicado un conjunto de para diferentes lenguajes. Se pueden crear im¨¢genes para aplicaci¨®n sin distribuci¨®n utilizando la herramienta de construcci¨®n de Google o utilizando simplemente Dockerfiles multistage. Hay que notar que los contenedores sin distribuci¨®n no tienen un shell para depurar. Sin embargo es f¨¢cil encontrar en l¨ªnea versiones de contenedores sin distribuci¨®n habilitadas para la depuraci¨®n que incluyen el shell . Google ha sido pionero en esta t¨¦cnica y, seg¨²n nuestra experiencia, sigue estando confinada a im¨¢genes generadas por Google. Esperamos que esta t¨¦cnica se extienda por fuera de este ecosistema.
When building Docker images for our applications, we're often concerned with two things: the security and the size of the image. Traditionally, we've used container security scanning tools to detect and patch and small distributions such as to address the image size and distribution performance. In this Radar, we're excited about addressing the security and size of containers with a new technique called distroless docker images , pioneered by Google. With this technique, the footprint of the image is reduced to the application, its resources and language runtime dependencies, without operating system distribution. The advantages of this technique include reduced noise of security scanners, smaller security attack surface, reduced overhead of patching vulnerabilities and even smaller image size for higher performance. Google has published a set of for different languages. You can create distroless application images using the Google build tool , which has rules for creating distroless containers or simply use multistage Dockerfiles. Note that distroless containers by default don't have a shell for debugging. However, you can easily find debug versions of distroless containers online, including a .
