1
fredcc 2022-02-20 02:33:20 +08:00 via Android 25
不要听他瞎说,在大陆不会这么做的,因为 push docker hub 基本没速度
|
2
eason1874 2022-02-20 02:54:33 +08:00
Docker 镜像相当于系统备份,可以包含公开内容(系统、第三方公开软件)和私密内容(内部软件、项目代码、配置、数据)
如果他打包的只是系统和第三方软件就不影响安全,如果包括内部文件的备份,那就非常不安全 |
3
crab 2022-02-20 06:06:36 +08:00
要看包含的文件。
|
4
ysc3839 2022-02-20 06:44:26 +08:00 via Android 1
显然有问题,难道内网就没有一个共享文件的服务器吗?放那就好了呀。就算真没有,找个 U 盘什么的存着也比公开好吧?
|
5
lithiumii 2022-02-20 09:14:05 +08:00 via Android
不一定不安全
|
7
52coder 2022-02-20 09:25:59 +08:00
大陆公司也没这么搞,公司内部有自己的镜像源。
|
8
jinliming2 2022-02-20 11:25:00 +08:00 4
肯定有问题,这属于商业机密了,可以直接报警,根据程度(属于线上服务正在使用中的代码),是要判刑的。
至于问题影响程度要看他 docker 用的怎么样。 首先看你们公司的线上服务是啥技术栈,如果是 Javascript 之类的脚本语言的话,那传公网表示源代码直接泄露(即便是转码 /混淆过的)。 如果你们用的是构建为二进制的技术栈,但他如果直接传的是非 scratch 的镜像,是 Dockerfile 一步一步构建直接打出来,那也是包含源代码的(即便是在 Dockerfile 里删了,也可以从构建记录恢复)。 而如果是构建为二进制,他在构建结束之后,用 Dockerfile 的阶段构建把构建的二进制产物重新复制到 scratch 镜像中,这个影响要小一些,但损失还是巨大的(二进制也是可以逆向分析的)。这个就不属于泄露源代码了,但仍然是商业机密。 |
9
ch2 2022-02-20 11:27:37 +08:00 via iPhone
不含机密信息无所谓
|
10
maskerTUI 2022-02-20 11:52:57 +08:00 2
建议把这个员工炒了,不然迟早出事
|
11
illl 2022-02-20 12:19:59 +08:00 via iPhone
利好白帽子
|
12
darkengine 2022-02-20 12:32:19 +08:00
@jinliming2 我们现在的用法是,docker 里只安装需要的 python 包,业务代码放在与宿主机共享的 volumn 里,数据库也在宿主机。这样的话 docker 镜像里是没有源代码的。不过把公司的东西传到 public repository 还是很不专业的行为。
|
13
viberconnection OP @maskerTUI 沒錯,就在剛剛那位員工被教訓了。然後再有一次就直接開這樣子。
|
14
Features 2022-02-20 13:13:46 +08:00
这 426 怎么敢的
|
15
ragnaroks 2022-02-20 16:41:55 +08:00
如果公司有成文迁移流程,这个处理没问题
如果公司没有明确流程,需要将 IT 负责人一起开了 |
16
aecra 2022-02-20 18:20:27 +08:00 via Android
所以你们没有镜像仓库吗?或者说他只是为了省略登录步骤?
|
17
makdon 2022-02-20 19:45:28 +08:00
@darkengine 共享 volumn 的话,怎么做版本滚动发布回滚灰度的
|
18
darkengine 2022-02-20 23:17:50 +08:00
@makdon 所以我们是不支持这些发布策略的。。。
|
19
DeWjjj 2022-02-20 23:28:02 +08:00
往公告推,就跟 bili 代码往 git public 里面丢一样。
鬼允许啊。 |