17 Backdoored Docker Images Removed From Docker Hub. Заголовок как будто намекает на глобальную чистку Docker Hub, но нет. Был удален всего лишь один аккаунт. Зато случай показательный. Самое грустное, что вы никогда не узнаете, что на самом деле внутри образа, который вы используете, т.к. на Docker Hub пуллится не Dockerfile, а образ (точнее, его отдельные слои). По сути, можно залить вредоносный образ,а в описании указать любой безобидный Dockerfile, и большинство разработчиков поверит.

Что же было в удаленных с хаба образах?

  1. Reverse Shells
  2. Майнеры

Как работать с контейнерами секьюрно?

  1. Используйте с Docker Hub только официальные образы. Они проверены. Поверьте, если в одном из таких найдут бэкдор, шум поднимется на весь Интернет, вы услышите :)
  2. Читайте Dockerfile всего, что используете.
  3. Dockerfile должен наследоваться только от одного из официальных образов.
  4. Используйте именно Dockerfile, а не его образ с Docker Hub, т.к. они могут отличаться.
  5. Явно указывайте expose портов только на https://127.0.0.1. Например, образ redis по умолчанию с радостью принимает запросы со всего интернета.
  6. Ограничивайте ресурсы, доступные контейнеру.

7 Docker security vulnerabilities and threats – статья про ещё некоторые ошибки безопасности при работе с Docker и про то, как ограничивать ресурсы контейнеров.