<div dir="ltr"><div>You've touched on a reason why the Dockerfile model of building images "from within" is sub-optimal. In addition to size, all those extra binaries sitting around inside the container provide an increased attack surface an attacker can leverage to construct a more effective attack once the container is compromised. e.g. why should your container have a shell and be exploitable to things like shellshock when nothing in your container requires a shell?<br><br></div>I see this culminating with container best practices consisting of building images externally. Unfortunately, Docker doesn't itself seem to be showing leadership here. Instead, look towards efforts like RedHat's Project Atomic to enable this.<br><div><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 21, 2015 at 7:25 AM, Andy McKay <span dir="ltr"><<a href="mailto:amckay@mozilla.com" target="_blank">amckay@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">I’ve been investigating the reason why some of our repos are so large and one reason is that they do all the building of the packages and hence need gcc and all the gubbins that comes along with that.<div><br></div><div>On Centos, our base image of 200MB balloons to well over a gig with just a few yum installs for weird reasons [1], including the addition of gcc etc. That got me thinking that the best way to do that is to get an end point for some of the key base packages so we can pre build them and then share them. A nice small Python, for starters.</div><div><br></div><div>We’ve kind of got one for Marketplace:</div><div><br></div><div><a href="https://github.com/mozilla/marketplace-env/blob/master/mkt/data/base-images/python27/yum/mkt.repo" target="_blank">https://github.com/mozilla/marketplace-env/blob/master/mkt/data/base-images/python27/yum/mkt.repo</a></div><div><br></div><div>But its getting out of date, I’d like to add packages to it and make one we can all use.</div><div><br></div><div>Does one of these exist already and I’m missing it? </div><div><br></div><div>We’d like to use CentOS if possible since for us, thats the closest to whats being run on prod in our non-dockerised deployments.</div><div><br></div><div>[1] <a href="https://github.com/mozilla/solitude/issues/425#issuecomment-104132736" target="_blank">https://github.com/mozilla/solitude/issues/425#issuecomment-104132736</a></div></div><br>_______________________________________________<br>
Dev-docker mailing list<br>
<a href="mailto:Dev-docker@mozilla.org">Dev-docker@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/dev-docker" target="_blank">https://mail.mozilla.org/listinfo/dev-docker</a><br>
<br></blockquote></div><br></div>