Dockerfileのベストプラクティス Top 20

本文の内容は、2021年3月9日にÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/dockerfile-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用することで、セキュリティ問題を防ぎ、コンテナ化されたアプリケーションを最適化する方法を学びます。 コンテナ化されたアプリケーションやマイクロサービスに精通している人なら、自分のサービスがマイクロサービスであることに気づいているかもしれません。しかし、脆弱性の検出、セキュリティ問題の調査、デプロイ後の報告や修正など、管理のオーバーヘッドがマクロな問題になっています。 このオーバーヘッドの多くは、セキュリティをシフトレフトし、開発ワークフローの中で可能な限り早く潜在的な問題に取り組むこ

[grugrut]

以前は軽量化のほうがベストプラクティスでふれられること多かった印象だけど、これはセキュリティ寄り

[ed_v3]

CIに使うDockerfileとローカル開発に使うDockerfileと本番環境用のDockerfileとかでそれぞれ違うと思う。色々なところで使われてるからこそベストプラクティスは難しい。

[kazeula]

"Haskell Dockerfile Linter (hadolint)" ShellCheck みたいなやつあるんだ。こちらも Haskell 製か。

[kzm1760]

仮にアプリケーション脆弱性があってユーザー権限が奪われた場合とrootが奪われた場合に、正直どういった影響度の差があるのかパッと言えないので勉強が足りない。

[thekoruku]

何か日本語に違和感あるが…

[ThailandMethod]

“Dockerのコンテキストを意識し、.dockerignoreを使用する”

[turanukimaru]

セキュリティに特化した話だった。ローカルでDocker使って開発してるときにセキュリティあんまり気にしてないのはまずかったかな…？いつまでも使う側でDockerファイルの管理もしてないというのは技術者としてアレかな…

[iekusup]

ほー。

[kako-jun]

コンテナ内でrootユーザーで実行するの、やっぱりベストじゃなかったんだ……。日本語でのやってみた系記事は、ほぼベストじゃないってことね

[hujuu]

“RUN adduser -D myuser && chown -R myuser /myapp-data ”

[kooyoo]

“distroless イメージを使うか、ゼロからビルドする”

[efcl]

Dockerfileのベストプラクティス。 Multi-Stage Build、署名、非Rootで実行

[yassan0627]

いい具合にまとまってて助かる

[surumedaka]

“署名検証を有効にするかどうかはランタイムごとに異なります。例えば、dockerでは、これは環境変数DOCKER_CONTENT_TRUSTで行います。”

[Tiantian]

残念ながら、訳がところどころおかしい。

[tmatsuu]

よい

[tetsu040e]

知らないこと多かった

[stp7]

ガバ翻訳が残念。

[hnishi2509]

じっくり読んだ。良記事だった

[ttakezawa]

セキュリティ関連

[asa_ca3]

セキュリティ寄り

[kuzutt]

https://sysdig.com/blog/dockerfile-best-practice

[peroon]

そっかー

[engisuke]

本番環境でもrootで実行したり気軽にcap-addしたりするのを見かける。NIST SP800-190を読むとこの記事の深堀りができてよい。

[onesplat]

内容はいいのに訳がクソ