Docker-образы состоят из слоев, хранящихся в реестрах. Удаление слоя из манифеста образа не приводит к его немедленному физическому удалению из реестра. Эти «зомби-слои» продолжают существовать и быть доступными, пока их не удалит сборщик мусора реестра.
К сожалению, эти «зомби-слои» могут содержать конфиденциальную информацию, такую как секреты, которые могут быть раскрыты. Даже если манифест был изменен, чтобы удалить ссылку на слой с секретом, сам слой по-прежнему доступен для скачивания из реестра по своему хэшу.
Проведенные тесты показали, что зомби-слои могут сохраняться в течение нескольких недель в таких реестрах, как Docker Hub, GitHub Packages и AWS ECR. Реестр удаляет их через 17 дней. При этом, даже при использовании функции неизменяемости тегов в AWS ECR, «зомби-слои» могут попасть в реестр, до того как система отклонит измененный манифест.
Поэтому, для защиты конфиденциальных данных, содержащихся в Docker-образах, крайне важно не только удалять слои из манифеста, но и оперативно аннулировать любые утечки секретов. Рекомендуется регулярно сканировать образы на наличие секретов перед их отправкой в реестр, используя такие инструменты, как ggshield.
Изображение носит иллюстративный характер
К сожалению, эти «зомби-слои» могут содержать конфиденциальную информацию, такую как секреты, которые могут быть раскрыты. Даже если манифест был изменен, чтобы удалить ссылку на слой с секретом, сам слой по-прежнему доступен для скачивания из реестра по своему хэшу.
Проведенные тесты показали, что зомби-слои могут сохраняться в течение нескольких недель в таких реестрах, как Docker Hub, GitHub Packages и AWS ECR. Реестр удаляет их через 17 дней. При этом, даже при использовании функции неизменяемости тегов в AWS ECR, «зомби-слои» могут попасть в реестр, до того как система отклонит измененный манифест.
Поэтому, для защиты конфиденциальных данных, содержащихся в Docker-образах, крайне важно не только удалять слои из манифеста, но и оперативно аннулировать любые утечки секретов. Рекомендуется регулярно сканировать образы на наличие секретов перед их отправкой в реестр, используя такие инструменты, как ggshield.
