Comment atténuer Meltdown dans les images Docker?
Sur https://meltdownattack.com/ il est suggéré que (dans certains cas?) Les scénarios avec des conteneurs Docker sont également vulnérables.
Je suis un développeur utilisant Docker à deux fins différentes:
- Images utilisées pour exécuter les étapes de génération dans GitLab CI/CD
- Quelques images en cours de production dans un cloud (Azure et AWS)
Ces images sont un mélange de choses, basées finalement sur Alpine, Debian ou Ubuntu. Souvent, mon Dockerfile est basé sur une image intermédiaire, comme celle avec Nodejs/NPM pour une construction frontale par exemple.
En supposant que le système d'exploitation de base (par exemple Debian) a corrigé les choses dans leur dernière mise à jour, quelle est la façon recommandée de mettre à jour mes propres images? Par exemple, si j'utilise node:8.9.4 actuellement, dois-je surveiller et attendre une nouvelle balise qui résout le problème?
Le correctif contre Meltdown est uniquement du noyau. Les conteneurs Docker s'exécutent dans le noyau du système hôte. Cela signifie que la résistance contre Meltdown dépend uniquement du noyau hôte. En d'autres termes: vous n'avez pas besoin de correctifs contre Meltdown dans l'image docker et vous ne pouvez pas appliquer de correctifs contre Meltdown dans l'image docker.