Debian 与 Ubuntu 作为 Docker 镜像的基础镜像

Question

不幸的是，Trivy 似乎与基于 Debian 的镜像不太相关（可能是因为 Debian 的元数据依赖于机器无法分析的消息）。对最新 Debian 11 镜像的 Trivy 扫描发现了 76 个漏洞；我没有看过所有 76 个，但前几个是不可利用的或已被定为次要：

最重要的是，Trivy 会计算每个二进制包的 CVE，因此例如 CVE-2022-0563 会被计算多次 ( bsdutils, mount, util-linux)。

Ubuntu 中的情况并没有什么不同，但提供的元数据更准确地反映了发行版的最终情况；参见例如CVE-2022-0563标记为“不易受攻击”，与 Debian 的情况完全相同。

我对安全扫描仪的经验是它们可能很有用，但需要大量的工作才能理解它们的方法并得出准确的图片。正如其他地方提到的，Debian 和 Ubuntu 都收到安全更新。

您应该根据哪个基本映像最能满足您的目的来决定使用哪个基本映像，而不是哪个基本映像在您选择的任何安全扫描工具中获得最佳分数。我不认为在 Debian 和 Ubuntu 基础镜像之间切换会出现很多兼容性问题；但结果将取决于容器映像的具体内容。

Answer 1

不幸的是，Trivy 似乎与基于 Debian 的镜像不太相关（可能是因为 Debian 的元数据依赖于机器无法分析的消息）。对最新 Debian 11 镜像的 Trivy 扫描发现了 76 个漏洞；我没有看过所有 76 个，但前几个是不可利用的或已被定为次要：

最重要的是，Trivy 会计算每个二进制包的 CVE，因此例如 CVE-2022-0563 会被计算多次 ( bsdutils, mount, util-linux)。

Ubuntu 中的情况并没有什么不同，但提供的元数据更准确地反映了发行版的最终情况；参见例如CVE-2022-0563标记为“不易受攻击”，与 Debian 的情况完全相同。

我对安全扫描仪的经验是它们可能很有用，但需要大量的工作才能理解它们的方法并得出准确的图片。正如其他地方提到的，Debian 和 Ubuntu 都收到安全更新。

您应该根据哪个基本映像最能满足您的目的来决定使用哪个基本映像，而不是哪个基本映像在您选择的任何安全扫描工具中获得最佳分数。我不认为在 Debian 和 Ubuntu 基础镜像之间切换会出现很多兼容性问题；但结果将取决于容器映像的具体内容。

相关内容