Gute und schlechte Container-Images für Docker unterscheiden
Wer Docker nutzt, sollte fremde Images sorgfältig prüfen – dafür muss man verstehen, wo sie eigentlich herkommen.
Mit der Container-Virtualisierung Docker können Admins und Webentwickler Zeit und Nerven sparen. Doch Docker-Container sind nicht automatisch sicherer oder unsicherer als installierte Programme. Verwendbarkeit und Sicherheit hängen von der Qualität der eingesetzten Docker-Images ab. Jeder, der Docker installiert hat, kann mit wenigen Befehlen ein solches Image erstellen. Doch weil es so einfach ist, eigene Werke in der Docker-Registry abzulegen und weil es keine Anforderungen oder Kontrolle gibt, landen dort nicht nur Images für den produktiven Einsatz.
Nutzer laden sie aus unterschiedlichen Gründen hoch: nur zum Test, für den persönlichen Gebrauch oder gar um Schadsoftware zu verbreiten. Immer mal wieder finden Anwender und Sicherheitsforscher Images, die neben ihrem eigentlichen Job zum Beispiel Kryptowährungen schürfen oder Hintertüren öffnen und tausendfach heruntergeladen wurden. Ein Blick unter die Haube und systematisches Vorgehen beim Auswählen von Images ist also angebracht.
"Official Repositories" als Startpunkt
Die Suche nach einem Image für ein Programm sollte immer bei den sogenannten "Official Repositories" beginnen. Diese werden von der Firma Docker Inc. selbst kuratiert und betreut und sind relativ sicher. Wer dem Paketmanager einer Linux-Distribution traut, kann auch dem Kurator vertrauen. Zu erkennen sind solche Images leicht am Namen – sie beginnen nicht mit einem Benutzernamen und einem Schrägstrich.
Das war die Leseprobe unseres heise-Plus-Artikels "Gute und schlechte Container-Images für Docker unterscheiden". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
