Ao criar imagens do Docker para nossas aplica??es, geralmente temos duas preocupa??es: a seguran?a e o tamanho da imagem. Tradicionalmente, usamos ferramentas de escaneamento de seguran?a de cont¨ºiner para detectar e corrigir , e pequenas distribui??es como para tratar do tamanho da imagem e do desempenho da distribui??o. Mas com o aumento das amea?as ¨¤ seguran?a, eliminar todos os vetores de ataque poss¨ªveis se tornou mais importante do que nunca. ? por isso que as imagens Docker sem distribui??o est?o se tornando a escolha padr?o para cont¨ºineres de implanta??o. Imagens do Docker sem distribui??o reduzem o rastro e as depend¨ºncias ao eliminar uma distribui??o completa do sistema operacional. Essa t¨¦cnica reduz o ru¨ªdo da verifica??o de seguran?a e a superf¨ªcie de ataque da aplica??o. S?o menos vulnerabilidades a serem corrigidas e, como b?nus, essas imagens menores s?o mais eficientes. O Google publicou um conjunto de para diferentes linguagens. Voc¨º pode criar imagens de aplica??es sem distribui??o usando a ferramenta de constru??o do Google ou simplesmente usar Dockerfiles de v¨¢rios est¨¢gios (multistage). Observe que os cont¨ºineres sem distribui??o, por padr?o, n?o t¨ºm um shell para depura??o. No entanto, voc¨º pode encontrar facilmente vers?es de depura??o de cont¨ºineres sem distribui??o online, incluindo um . O uso de imagens do Docker sem distribui??o ¨¦ uma t¨¦cnica pioneira do Google e, em nossa experi¨ºncia, ainda ¨¦ muito restrita a imagens geradas pela empresa. Ficar¨ªamos mais confort¨¢veis se houvesse mais de uma provedora para escolhermos. Al¨¦m disso, tenha cuidado ao aplicar Trivy ou scanners de vulnerabilidade semelhantes, uma vez que cont¨ºineres sem distribui??o s?o suportados apenas em vers?es mais recentes.
Ao criar imagens do Docker para nossas aplica??es, geralmente temos duas preocupa??es: a seguran?a e o tamanho da imagem. Tradicionalmente, usamos ferramentas de escaneamento de seguran?a de cont¨ºiner para detectar e corrigir , e pequenas distribui??es como para tratar do tamanho da imagem e do desempenho da distribui??o. Agora, temos mais experi¨ºncia com imagens do Docker sem distribui??o e podemos recomendar essa abordagem como mais uma precau??o de seguran?a importante para aplica??es em cont¨ºineres. Imagens do Docker sem distribui??o reduzem o rastro e as depend¨ºncias ao eliminar uma distribui??o completa do sistema operacional. Essa t¨¦cnica reduz o ru¨ªdo da verifica??o de seguran?a e a superf¨ªcie de ataque da aplica??o. S?o menos vulnerabilidades a serem corrigidas e, como b?nus, essas imagens menores s?o mais eficientes. O Google publicou um conjunto de para diferentes linguagens. Voc¨º pode criar imagens de aplica??es sem distribui??o usando a ferramenta de constru??o do Google ou simplesmente usar Dockerfiles de v¨¢rios est¨¢gios (multistage). Observe que os cont¨ºineres sem distribui??o, por padr?o, n?o t¨ºm um shell para depura??o. No entanto, voc¨º pode encontrar facilmente vers?es de depura??o de cont¨ºineres sem distribui??o online, incluindo um . O uso de imagens do Docker sem distribui??o ¨¦ uma t¨¦cnica pioneira do Google e, em nossa experi¨ºncia, ainda ¨¦ muito restrita a imagens geradas pela empresa. Esperamos que a t¨¦cnica avance para al¨¦m deste ecossistema.
When building Docker images for our applications, we're often concerned with two things: the security and the size of the image. Traditionally, we've used container security scanning tools to detect and patch and small distributions such as to address the image size and distribution performance. In this Radar, we're excited about addressing the security and size of containers with a new technique called distroless docker images , pioneered by Google. With this technique, the footprint of the image is reduced to the application, its resources and language runtime dependencies, without operating system distribution. The advantages of this technique include reduced noise of security scanners, smaller security attack surface, reduced overhead of patching vulnerabilities and even smaller image size for higher performance. Google has published a set of for different languages. You can create distroless application images using the Google build tool , which has rules for creating distroless containers or simply use multistage Dockerfiles. Note that distroless containers by default don't have a shell for debugging. However, you can easily find debug versions of distroless containers online, including a .
