Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в сканерах безопасности образов Docker-контейнеров "	+1 +/–
Сообщение от opennews (?), 03-Сен-20, 09:25
Опубликованы результаты тестирования инструментов для определения  неисправленных уязвимостей и выявления проблем с безопасностью в образах изолированных контейнеров Docker. Проверка показала, что в 4 из 6  известных сканеров образов Docker присутствовали критические уязвимости, позволяющие атаковать непосредственно сам сканер и добиться выполнения своего кода в системе, в отдельных случаях (например, при использовании Snyk) с правами root... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53650
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Онаним (?), 03-Сен-20, 09:25	+18 +/–
"Уязвимости в сканерах безопасности". Смузихлёбы такие смузихлёбы. А вообще в последнее время, когда видишь слово "Docker", становится феерично смешно. Если бы не было так грустно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #14

2. Сообщение от Аноним (2), 03-Сен-20, 09:33	+6 +/–
>В итоге сделан вывод, что сканеры Docker-контейнеров следует запускать в изолированных окружениях запускать сканер докера внутри докера
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

3. Сообщение от Аноним (3), 03-Сен-20, 09:54	+2 +/–
Docker не про безопасность. Комментаторы на опеннете пробивают новое дно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #8, #9

5. Сообщение от Аноним (5), 03-Сен-20, 10:10	+1 +/–
Нужен сканер безопасности для сканера
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

6. Сообщение от Аноним (6), 03-Сен-20, 10:10	+16 +/–
Docker про опасность?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #18, #30

7. Сообщение от Gefest (?), 03-Сен-20, 10:16	+2 +/–
Традициям Лаборатории Касперского Верны !!
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (-), 03-Сен-20, 10:35	+15 +/–
> Комментаторы на опеннете пробивают новое дно... Cамокритично. > Docker не про безопасность. Software: Docker Original author(s): Solomon Hykes Developer(s): Docker, Inc. https://www.docker.com/ With Docker, you get an integrated __security__ framework for delivering __safer__ applications and improving policy automation without sacrificing performance. Docker adds an __extra layer of protection___ that travels with your applications in a __secure supply chain__ that traverses any infrastructure and across the application lifecycle.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #48

9. Сообщение от Аноним (-), 03-Сен-20, 10:38	+4 +/–
> Docker не про безопасность. Так-так... Вы у нас девелопер-погроммист? Очень жаль... Лет 15 назад профессией программист можно было гордиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #21

12. Сообщение от Брат Анон (?), 03-Сен-20, 11:07	+3 +/–
На JavaScript, или ещё лучше Rust!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

13. Сообщение от Аноним (13), 03-Сен-20, 11:34	+/–
Что ещё раз показывает, что дыры надо выявлять и чинить, а не оборачивать в 10 слоёв таких же дырявых "контейнеров" "песочниц" и "виртуальных машин".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #20

14. Сообщение от Аноним (14), 03-Сен-20, 11:34	+5 +/–
> Уязвимости в сканерах безопасности образов... Да прочитай хоть заголовок новости. А смех без причины - признак закоренелого опеннетовца. Да, докер - это всего лишь система контейнеризации приложений, что по определению будет опаснее любой виртуальной машины. Но вот только к чему докер здесь? Вот приходилось мне когда-то blackduck гонять. В виртуалке... Я сканировал образа докера без использования самого докера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

15. Сообщение от Аноним (14), 03-Сен-20, 11:39	–1 +/–
> дыры надо выявлять и чинить Конечно надо! Даже при увеличении стоимости разработки в несколько раз из-за этого... Хотя... Вот я сейчас нахожусь в такой ситуации, когда просто невозможно перейти на третий питон. А ещё у одного из моих заказчиков какой-то начальничек говорил что код надо "сразу писать правильно!". Но он вроде потом понял почему над ним не только поржали, но и цитировали потом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #31, #47, #52

16. Сообщение от анонимко (?), 03-Сен-20, 12:07	+/–
Хотите нормальной изоляции, берите тот же легковесный Alpine и вращайте на KVM. Докер это костыль.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #45

17. Сообщение от Аноним (18), 03-Сен-20, 12:25	+1 +/–
Alpine точно не стоит. Там вместо libc здорового человека вкорячен musl, написанный крайне талантливым разработчиком. Переполнение буфера в функции printf - это надо уметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #26

18. Сообщение от Аноним (18), 03-Сен-20, 12:31	+4 +/–
Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы. Как и любой инструмент, его можно использовать правильно, а можно отстрелить себе что-нибудь. Если приложение в докере запускается от непривилегированного пользователя, в контейнер не смонтировано чувствительных каталогов ФС хоста, и образ регулярно обновляется - в случае уязвимости приложения выход из контейнера малореален, нужна критичная дыра в ядре, позволяющая любому пользователю получить рута. А вот рут в контейнере - это практически рут на хосте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #27, #41, #55, #68

19. Сообщение от Michael Shigorin (ok), 03-Сен-20, 12:33	–5 +/–
> изначально написанный с оглядкой на обеспечение безопасности Да уж, и впрямь девляпсы -- анализатор непоймичего писать левойногой, не включая голову... С дыркером всё стало ясно ещё после тех детских ошибок пятилетней давности в уже набирающем обороты "продукте", вылезшем там, куда не смогли добраться ovz-шники, увы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

20. Сообщение от Аноним (18), 03-Сен-20, 12:34	+/–
>  Что ещё раз показывает, что дыры надо выявлять и чинить, а не оборачивать в 10 слоёв таких же дырявых "контейнеров" "песочниц" и "виртуальных машин". Ага, запускайте все от рута, и будет вам счастье. Если вас ломанут - подайте в суд, почему дыру не выявили и не починили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

21. Сообщение от Аноним (18), 03-Сен-20, 12:52	+4 +/–
> Лет 15 назад профессией программист можно было гордиться. 1С:Предприятие был уже тогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #65

22. Сообщение от Аноним (22), 03-Сен-20, 13:17	+5 +/–
но с начала нужно просканировать докер для запуска сканера докера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

23. Сообщение от Аноним (-), 03-Сен-20, 13:32	+11 +/–
повторю вопрос тут, а то в оригинальной локации вы отвечать не спешите: >>> единственными нормальными контейнерами в плане изоляции были OpenVZ-шные >> и чем же OpenVZ-контейнеры безопасней тех, что на базе cgroups? > Изоляцией. поясните, пожалуйста, раз вы специалист в этом вопросе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #40

25. Сообщение от Аноним (-), 03-Сен-20, 13:58	+4 +/–
пффф. как будто вас не ломанут из под докера или виртуалки... это может быть даже проще сделать... экосистема какого-нить мелкого контейнера всяко проще исследовать, нежели монструозное ядро, сетевой стэк ос и тп. другой вопрос в том, что в виртуалках проще админить, бэкапить и тп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #36

26. Сообщение от Аноним (26), 03-Сен-20, 14:00	+6 +/–
Вот *все* CVE на musl: CVE-2012-2114 (5.0) CVE-2015-1817 (7.5) CVE-2016-8859 (7.5) CVE-2017-15650 (7.5) Вот CVE на glibc только за прошлый год: CVE-2019-9169 (7.5) CVE-2019-1010022 (7.5) CVE-2019-1010023 (6.8) CVE-2019-1010024 (5.0) CVE-2019-1010025 (5.0) И кто талантливее?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #42, #43

27. Сообщение от Аноним (27), 03-Сен-20, 15:02	–3 +/–
Кококо, в ляликсе нету dependency hell, говорили они, в ляликсе есть очень вумные пакетные менеджеры, которые решают все проблемы, говорили они...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #33

28. Сообщение от Аноним (28), 03-Сен-20, 15:39	+/–
Кто бы сомневался. Надо больше дырявых контейнеров, контейнеров в контейнерах. И внутри ещё снапошлаков. Вот тогда заживём. Сначала наделают ерунды, а потом с ней героически сражаются.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

29. Сообщение от Аноним (28), 03-Сен-20, 15:41	+3 +/–
Ну пустили вебмакак к серверам, обозвали громким словом девопс, ну чего? Нормально. Нечему теперь таким результатам удивляться.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от sssss (??), 03-Сен-20, 15:54	–3 +/–
докер это про то, как сделать из линукса win xp. чтобы не пришлось линукс осиливать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

31. Сообщение от Gefest (?), 03-Сен-20, 16:06	+1 +/–
Увеличение ресурсопотребления в несколько раз. Но это же у юзера. Юзер стерпит (в прочем сейчас  могут резко закончится деньги на апгрейды/обломаться закон Мура)...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #32

32. Сообщение от Gefest (?), 03-Сен-20, 16:07	–2 +/–
PS Достали. Написать что ли аддон для хрома, чтобы как только процесс с вкладкой жиреет до 500 мб, он начинал этот сайт ддосить ??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35, #63

33. Сообщение от Аноним (33), 03-Сен-20, 16:14	+6 +/–
голоса в голове?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #37

35. Сообщение от Аноним (14), 03-Сен-20, 17:12	+/–
Ты там сверху не на тот вопрос ответил, наверное. > PS Достали. Написать что ли аддон для хрома, чтобы как только процесс с вкладкой жиреет до 500 мб, он начинал этот сайт ддосить ?? Пиши, но без плагина можешь рразу начинать дудосить сайты аутглюка, зума и шлака.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от Аноним (14), 03-Сен-20, 17:15	+/–
Дядя, ты кагбэ вообще оторвался от реальности, или просто хороший тролль. Нужно просто инвертировать всё тобой сказанное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

37. Сообщение от Michael Shigorin (ok), 03-Сен-20, 18:14	+/–
Думаю, просто завидует -- _тот_ dependency hell, который можно развязать на линуксе, на винде приведёт к срыву шифера куда раньше... ну и вариантов разложить по полочкам всё-таки есть, в отличие от "чуть что -- остаются только виртуалки".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от Нанобот (ok), 03-Сен-20, 18:14	+/–
Предлагаю разработать сканеры безопасности для сканеров безопасности
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Michael Shigorin (ok), 03-Сен-20, 19:10	–6 +/–
>>>> единственными нормальными контейнерами в плане изоляции >>>> были OpenVZ-шные >>> и чем же OpenVZ-контейнеры безопасней тех, что на базе cgroups? >> Изоляцией. > поясните, пожалуйста, раз вы специалист в этом вопросе ovz изначально делался для хостинга, т.е. для агрессивной с обеих сторон среды с осуществляемыми атаками как извне на контейнер и хост, так и из контейнера на хост (неважно, вследствие "заинтересованного" ли или проломленного пользователя). cgroups -- это те ошмётки технологии, которые успели попасть в ядро, пока их туда ещё пропихивали разработчики ovz.  Без ubc, без вычитки (которая местами попала отдельно, но вся ли -- мне неизвестно). lxc -- это те ошмётки управления, которые лет десять назад сделал IBM (очень напоминали то ли набросок, то ли кусок большей и не опубликованной разработки, но тут точней мне сказать нечего). PS: вот на этой точке подумал и позвонил xemul@; он прокомментировал так, что в ovz был kmem accounting (для меня это часть ubc) и "что-то там насчёт рута в контейнере, но вроде в lxc это тоже затыкали"; ещё упомянул про user namespaces (на что я удивился, памятуя неприятные CVE по ним, но Паша говорит, что вроде уже позатыкали тоже).  То есть сейчас, если правильно понимаю, где-то на уровне -- в том числе и потому, что vz7 переехал на уже заапстримленное, а не продолжил "ту" разработку на "том" уровне (это моя оценка, не его). PPS: ну очень смешному автору удалённого #24 могу отметить, что ответственность за угробленный проект openvz несёт также тот полутруп, которого традиционно "по рреволюционным нуждам" попытались порешить "свои" же (пиджаку запаса РХБЗ слышать о высокоточечном применении ОМП особенно забавно, остальное даёт корреляционный анализ аналогичных случаев).  Да, у доброго и умнейшего Кирилла Колышкина не хватило мудрости отличить вопли от действительности и он простодушно понауехал, в отличие от подначивавших _других_ к тому уродов.  Не делайте так, проверяйте загодя, исполняют ли вопящие сами то, к чему призывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #58

41. Сообщение от Онаним (?), 03-Сен-20, 19:17	+1 +/–
Про создание *Hell вместо dependencyHell, скорее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

42. Сообщение от erthink (ok), 03-Сен-20, 20:57	+1 +/–
Там с обеих сторон хватает талантов. Тем не менее, в musl (пока) намного меньше кода, он (пока) сильно меньше засран слоями legacy и совместимости со всем сущим. С другой стороны, и щиплют musl пока в разы меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

43. Сообщение от ALex_hha (ok), 03-Сен-20, 21:39	+1 +/–
Забыл самое главное - количество хостов с glibc и musl
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #60

44. Сообщение от ALex_hha (ok), 03-Сен-20, 21:44	–2 +/–
А почему тут все резко начали кукарекать про безопасность? Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа. К тому же началась школа и количество активных хакеров интернете уменьшилось на 60%
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #49, #57, #61

45. Сообщение от Hellscream (?), 03-Сен-20, 22:06	–1 +/–
Alpine можно и на хосте вращать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

46. Сообщение от Онаним (?), 03-Сен-20, 22:14	+/–
То-то что ни девляпсная монга, то утечка. А мужики-то и не знают, что к CI/CD системам не то, что школота, NSA не подлезет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

47. Сообщение от Онаним (?), 03-Сен-20, 22:15	+1 +/–
> Вот я сейчас нахожусь в такой ситуации, когда просто невозможно перейти на третий питон Ну вы сами себе этот язычок выбрали. Страдайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

48. Сообщение от Онаним (?), 03-Сен-20, 22:19	+/–
With our system, you get every f***ng benefit you can imagine without sacrificing any f***ng hair from you head, cutting nails, washing feet, feeding cat, whatever. Our SHIT(tm) adds so many layers of protection that you have never imagined in your life, a secure security chain that does not allow even kernel to traverse over any tiny bit in your precious big data containing milliards of visits to your ultimately(tm) necessary(tm) pages. (of course this all is a load of utter bullshit, but who cares? don't care, drink smoothies)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

49. Сообщение от Аноним (-), 03-Сен-20, 23:35	+1 +/–
> А почему тут все резко начали кукарекать вот в таком виде вопрос уже достаточен и ответ очевиден - иксперты опеннет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от Юзер (??), 04-Сен-20, 02:18	+1 +/–
> Даже при увеличении стоимости разработки в несколько раз из-за этого Не экономь. За счёт. Моих. Ресурсов. Сcцука. Пусть увеличивается стоимость разработки, 6леaть - вы ж сами работой и баблом дольше будете обеспечены, deбилы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #56

55. Сообщение от Аноним (-), 04-Сен-20, 08:17	+/–
> А вот рут в контейнере - это практически рут на хосте. user namespaces в докере не используются что ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #59

56. Сообщение от Онаним (?), 04-Сен-20, 09:47	+2 +/–
Вот кстати да, я всегда охреневаю с этих камикадзе, ратующих за уменьшение стоимости разработки. Во-первых, это понижает общий уровень разработки - обезьянки становятся востребованнее профессионалов. Во-вторых, говнокод в перспективе всегда оборачивается херовой тучей убытков - случаев тьма. В-третьих, скупой/слепой/жадный всегда платит дважды, просто в других местах. ССЗБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

57. Сообщение от Testtest (?), 04-Сен-20, 09:48	–1 +/–
Я вообще удивляюсь, чего на опеннете начали кукарекать про безопасность. Ранее тут повально были мнения от старожилов и почтенных бородачей в свитерах, что фаерволы - пустая трата времени, никто никому не нужен и никто никого ломать не будет. Переобулся опеннет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #62

58. Сообщение от Онаним (?), 04-Сен-20, 09:50	+1 +/–
Да всё нормально с OpenVZ, просто после проталкивания основной массы бэкграунда в ядро объём работы сильно подсократился, чего сами в общем-то не ожидали. Ну и то, что понауехал, это очень хорошо. По крайней мере хватило мозгов и, главное, смелости не задерживаться там, где перспектив 0. Red Hat - местечко куда лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

59. Сообщение от Аноним (18), 04-Сен-20, 10:09	+/–
Можно включить, но дыры в них находят регулярно https://www.opennet.ru/opennews/art.shtml?num=53656 не первая и не последняя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

60. Сообщение от Аноним (26), 04-Сен-20, 11:54	+/–
Это ж надо все роутеры и прочую эмбедовку посчитать. У меня нет таких данных. Поделись, если у тебя есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

61. Сообщение от Аноним (26), 04-Сен-20, 11:57	+/–
> Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа. Ну дык вот новость как раз о том, как он внезапно может появиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #66

62. Сообщение от Аноним (62), 04-Сен-20, 11:57	+/–
firewall не про безопасность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #64

63. Сообщение от НяшМяш (ok), 04-Сен-20, 11:59	+/–
>  Написать что ли аддон для хрома, чтобы [...] сайт ддосить ?? От всего сердца желаю удачи. Потому что скорее всего получится только свой комп заддосить отожранным хромом )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

64. Сообщение от Testtest (?), 04-Сен-20, 12:28	–1 +/–
Это как пример
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

65. Сообщение от funny.falcon (?), 04-Сен-20, 12:57	+/–
Изучал программирование под 1С 8.3 . Мне понравилось. Иногда жалею, что не стал работать с ним.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

66. Сообщение от ALex_hha (ok), 05-Сен-20, 16:27	–1 +/–
>> Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа. > Ну дык вот новость как раз о том, как он внезапно может > появиться. Если не следить за софтом - то хацкеры внезапно могут появиться на любой системе, даже без докера
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

67. Сообщение от Легивон (?), 06-Сен-20, 13:52	+/–
О ужас, мы потеряли 3% производительности железа и получили 500% к скорости выпуска релиза. Конечно, вместо контейнеров нам нужно поддерживать 20 разных способов установки ПО, какие-то 3rd party репозитории которые постоянно падают и ломают обновление всей системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

68. Сообщение от Аноним (68), 07-Сен-20, 01:46	+/–
> Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы. Изначально-то это задумывалось не так. Микросервисные приложения и все тому подобное... Это потом, спустя годы оно превратилось в MSI для Linux. Виновато в этом отсутствие этого условного MSI. Можно его изобрести в будущем, но для этого придется сначала создать стандартизированную базовую систему, придумать что-то с безопасностью и там еще по-мелочи. И ведь дяди-меинтейнеры не понимают, что сопротивление бесполезно. Ах сколько я слышал про чудесные репозитории как панацея, о прекрасных "юниксвеях" и прочих религиозных войнах. Получите-распишитесь. Вам придумали "инсталляторы", причем те люди, кто меньше всего в этом смыслит. Кривые косые тяп-ляп, пока все поголовно отрицали нужность. Тезис на поразмыслить: любые доводы противников всегда разбиваются о существующее рабочее решение и продолжат разбиваться до тех пор пока не будет предъявлена альтернатива решающая задачу лучше. Поэтому докеры, поэтому системд и то ли еще будет... > А вот рут в контейнере - это практически рут на хосте. Уффф. Да это еще полбеды. Вы на capabilities в ядре посмотрите и прослезитесь и на атрибуты из прошлого века на ФС. Вас даже мандатный контроль не спасёт, включенный и в контейнере и на хосте от дурачка с докер-контейнером. С ростом популярности Linux, у него появляются пользователи. Пользователям в вопросах безопасности доверия нет, потому что они не администраторы и не понимают в этом ничего. Принципы и подходы к безопасности которые которые сложились в Linux за годы нужно пересматривать. Точка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

69. Сообщение от user455 (?), 07-Сен-20, 13:46	+/–
докер - это не про изоляцию, и не про безопасность. докер - это про то, что девелопер теперь может сам выкатывать свое приложение без помощи админа/девопса/инфраструктурного инженера и т.д. сам может управлять лимитами ресурсов, сам может управлять балансировкой и т.д. достаточно только написать yaml файл для клауд-хостет сверверлес кластера кубернетес. в россии правда это пока не очень очевидно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

70. Сообщение от ALex_hha (ok), 08-Сен-20, 20:34	+/–
> докер - это не про изоляцию, и не про безопасность. докер - > это про то, что девелопер теперь может сам выкатывать свое приложение > без помощи админа/девопса/инфраструктурного инженера и т.д. > сам может управлять лимитами ресурсов, сам может управлять балансировкой и т.д. > достаточно только написать yaml файл для клауд-хостет сверверлес кластера кубернетес. Спасибо, но нет, спасибо. Насмотрелся на монстров от таких вот senior full stack архитекторов. Лучше пусть и дальше код пишут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема