Sto costruendo un server che costruirà immagini direttamente da Dockerfile:
docker build -t arbitrarydocker .
Questo file docker verrà creato sullo stesso server degli altri client Dockerfiles, che potrebbero avere segreti. Come posso bloccare il processo che fa docker build -t arbitrarydocker .
in modo che non faccia cose come:
ADD /contents/of/host/secrets ./space/in/hacker/docker/container
Il modo migliore che posso pensare è di eseguire il fork del processo ed eseguirlo con un utente composto che ha accesso limitato alla directory a una sola cartella in cui i propri segreti sono mantenuti con funzionalità limitate. Inoltre, ti chiediamo se c'è un modo per cancellare completamente la memoria dopo che il file docker è stato creato in modo che i dati non siano trapelati alla prossima build del client.
Se l'unico modo per farlo in modo sicuro è avere un server di sviluppo dedicato per client, allora posso farlo, ma vorrei evitarlo.
Tutte le build sono fatte su Centos.