Docker Hub存高风险漏洞，免费镜像用还是不用呢？

Docker容器的镜像库中的许多框架广受欢迎，在Docker Hub市场中有成千上万的免费镜像，可随时在Docker容器中使用。然而一项研究表明，在测试的2500多个Docker镜像中发现了大量安全漏洞。

Docker镜像可以单独或在虚拟化网络中彼此运行服务或应用，每个镜像都包含代码所需的依赖项，库和其他相关组件。

独立镜像通常以构建块的形式使用，通过使用精心选择的镜像，可以快速启动整个复杂的服务，并将其托管在与平台无关的主机上，这些镜像只需进行最少的调整，即可使用。许多企业项目将Docker Hub作为起点，从而将总体开发时间缩短。

但研究发现，即使在“认证”渠道，包含已被证明经过大量审查的Docker镜像中，也包含被描述为“高风险”的安全漏洞。

在所有Docker Hub市场中，Python和JavaScript Lodash库中的镜像受到最普遍的影响，甚至是被视为基本级别，并包含虚拟化操作系统级别代码的Official通道镜像。

一直以来，Docker Hub的安全性就备受诟病，很多镜像都未更新，最长达400天。

因为DevOps团队经常会遇到的时间和预算的压力，所以生产中的许多应用很有可能使用了包含Docker Hub的高风险镜像。

基于微服务的应用提供了快速，高效和可扩展的方式来启动高度复杂的配置，但是不能忽视Docker容器的安全性，更不能想当然的认为Docker Hub的镜像都是高质量的。

免费镜像用还是不用呢？