以下Dockerfile是基于 Debian 10 (buster) 镜像编写的
FROM node:12-buster
RUN apt-get update -y
RUN apt-get install wkhtmltopdf -y
#...rest content
正如您在上面看到的,我需要安装一个名为wkhtmltopdfusingapt-get命令的软件包(-y带有接受该软件包要求的任何权限的标志)
我的问题是:在 Debian 10 (buster) 中,我可以使用什么工具来验证wkhtmltopdf(apt-get软件包)不包含任何病毒或任何恶意代码
如果您想知道为什么我需要进行该验证:
因为使用它构建的容器Dockerfile包含敏感数据,并且它还可以与其他容器(如mysql数据库容器和其他外部 https 资源)进行通信。
因此,如果包中wkhtmltopdf包含任何病毒或任何恶意代码,这意味着黑客可以窃取数据库数据和用户敏感信息和其他重要信息......
答案1
该软件包的源代码wkhtmltopdf确实可用,您应该能够阅读它或自行构建它,以确定它是否没有恶意代码。
这德班包页面有链接到原始来源和Debian 修改源。我还发现了一个 GitHub 存储库,声称拥有官方源代码。
关于安全性,我更担心他们的警告“不要将 wkhtmltopdf 与任何不受信任的 HTML 一起使用”状态页。即使您确实验证了该软件包是非恶意的,该软件本身似乎也存在可能导致安全风险的错误。
就我个人而言,我会更关心验证任何node软件包,然后再担心 Debian 提供的东西。
答案2
我同意 GracefulRestart。但是,如果您需要 Debian 10 的防病毒软件,您可以安装clamav并使用clamscan命令手动检查文件是否有病毒。我在 Linux SMB/CIFS 服务器上使用它来跟踪 Windows 病毒,它非常有效。