我刚刚开始使用Docker,我发现
docker hub repository上有很多可用的图像.设置一个新的docker容器的正常方法似乎是复制其中一个图像并从那里开始.但是,我如何知道这些容器中没有恶意代码,或者它们不会以其他方式损害我的安全性？

例如,但我怎么知道容器中的操作系统不是(例如)捕获键盘,如果我ssh到它,或劫持系统资源用于其他目的？

最佳答案 标记为“受信任的构建”的映像由Docker在其服务器上根据用户提供的来源构建.您可以轻松地检查构建映像的Dockerfile以检查恶意代码.

您还拥有Docker正式支持的“官方”图像(那些不以’somthing /’开头的图像).如果您信任Docker,inc,您可以信任这些图像.

对于第三部分图像,不是来自受信任的构建而不是来自Docker,那么您可以使用docker history< image>来检查历史记录. (拉动它之后)看它是如何建造的,但常识适用.它不可信任.

Docker工作起源,所以我们很快就会看到CA证书检查和原产地证明.在此之前,只需要小心,只使用您检查过的可信任构建或官方图像.