以下Dockerfile
是基于 Debian 10 (buster) 镜像编写的
FROM node:12-buster
RUN apt-get update -y
RUN apt-get install wkhtmltopdf -y
#...rest content
正如您在上面看到的,我需要安装一个名为wkhtmltopdf
usingapt-get
命令的软件包(-y
带有接受该软件包要求的任何权限的标志)
我的问题是:在 Debian 10 (buster) 中,我可以使用什么工具来验证wkhtmltopdf
(apt-get
软件包)不包含任何病毒或任何恶意代码
如果您想知道为什么我需要进行该验证:
因为使用它构建的容器Dockerfile
包含敏感数据,并且它还可以与其他容器(如mysql
数据库容器和其他外部 https 资源)进行通信。
因此,如果包中wkhtmltopdf
包含任何病毒或任何恶意代码,这意味着黑客可以窃取数据库数据和用户敏感信息和其他重要信息......
答案1
该软件包的源代码wkhtmltopdf
确实可用,您应该能够阅读它或自行构建它,以确定它是否没有恶意代码。
这德班包页面有链接到原始来源和Debian 修改源。我还发现了一个 GitHub 存储库,声称拥有官方源代码。
关于安全性,我更担心他们的警告“不要将 wkhtmltopdf 与任何不受信任的 HTML 一起使用”状态页。即使您确实验证了该软件包是非恶意的,该软件本身似乎也存在可能导致安全风险的错误。
就我个人而言,我会更关心验证任何node
软件包,然后再担心 Debian 提供的东西。
答案2
我同意 GracefulRestart。但是,如果您需要 Debian 10 的防病毒软件,您可以安装clamav
并使用clamscan
命令手动检查文件是否有病毒。我在 Linux SMB/CIFS 服务器上使用它来跟踪 Windows 病毒,它非常有效。