Sto per costruire un servizio web che può essere notificato da Git che è successo un push in un particolare ramo. Fatto ciò, il ramo viene estratto e docker build -t somename . accade. È sicuro o sto praticamente permettendo a chiunque di eseguire comandi arbitrari come root su questo server?
La tua preoccupazione è davvero appropriata. L'utente malintenzionato può condividere le risorse di sistema con il proprio contenitore di attacco in quanto è un file Docker fornito dall'utente e non solo un contenitore Docker. Il comando build del Dockerfile può montare qualsiasi parte del filesystem del server e accedere a qualsiasi porta disponibile sul server. Non è un buon piano.
Leggi altre domande sui tag docker attack-vector