构建一个包含Maven settings.xml的Docker镜像--这是一个糟糕的做法吗?
构建一个包含Maven settings.xml的Docker镜像--这是一个糟糕的做法吗?
提问于 2020-09-28 21:58:56
我们有这样一个用例,我们想用maven对我们的应用程序运行验收测试。为此,我们正在研究如何使用maven settings.xml复制到docker镜像中。显然,设置xml包含有关连接到远程人工制品仓库等的敏感数据。我进退两难,是否应该将其复制到docker镜像中,或者这是一种糟糕的做法,我们应该寻找其他方法来实现这一点。
编辑-另一点,我们的docker镜像被推送到私有注册表,只有授权用户才能访问
回答 1
Stack Overflow用户
回答已采纳
发布于 2020-09-28 22:12:03
Docker镜像的内容完全没有安全性。任何获得图像的人都可以简单地读取它的docker history,并从图像中读取或复制任意文件。
因此,我会非常努力地将凭据完全排除在Docker映像构建过程之外。如果settings.xml文件中包含用户名和密码,那么最好找一种不同的方式来执行所需的设置。类似地,向映像添加ssh私钥、AWS凭证或GitHub访问令牌将损害这些凭证。
如果settings.xml文件只包含内部主机名(但不包含凭据),或者如果密码故意不正确,那么问题在于您愿意容忍多大的风险。如果您有一个像http://build:passw0rd@build.internal.example.com这样URL,其中内部主机名不能从外部访问,那么您可能会认为,考虑到非常容易猜到的用户名和密码,这就足够了,您不需要费力地隐藏它,特别是如果您认为您可以信任最终用户的话。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64103692
复制相关文章
相似问题
腾讯云开发者
