Best Practice 🟢Следуй принципу минимальных привилегий, процессы в контейнере никогда не должны выполняться из под рута, кроме редких случаев, нужно добавлять команду user и менять юзера на non-root. 🟢Не привязываться к UID, он динамичен, можно записать во временную папку UID. 🟢Сделать все исполняемые файлы владельцем рута, чтобы никто не изменил исполняемые файлы, а пользователю достаточно только права на выполнение. 🟢Чем меньше компонентов и открытых портов, тем меньше поверхность для атак. 🟢Использовать multistage для промежуточного контейнера для компиляции всего, зависимостей, временных файлов, образ может весить на треть меньше. 🟢Distroless с чистого листа, использовать минимальный набор пакетов, например избавиться от образа Ubuntuи выбрать Debian-base, наши контейнеры содержат уязвимости изначального образа, чекать это. 🟢Нужно обновлять всё до того, как выйдет из под поддержки. 🟢Оставлять только те порты, которые реально нужны, избегать 22 и 21 3389 (ssh & ftp & rdp). 🟢Никогда не помещайте логины/пароли в команде, в докерфайлах, переменных, docker secret или любой другой менеджер секретов ok. 🟢Не использовать ADD, только COPY (когда используем точку - это воркдир где лежит докерфайл). 🟢При сборке используйте .dockerignore чтобы убрать сенситив дату, это как .gitignore. 🟢При сборке вначале команд лучше кешировать команду ран, а потом скопировать исходные данные. 🟢Метадату записать. 🟢Использовать тесты типа Linter и сканеры образов для CI. 🟢Время от времени делать prune, докер любит много места жрать
Best Practice 🟢Следуй принципу минимальных привилегий, процессы в контейнере никогда не должны выполняться из под рута, кроме редких случаев, нужно добавлять команду user и менять юзера на non-root. 🟢Не привязываться к UID, он динамичен, можно записать во временную папку UID. 🟢Сделать все исполняемые файлы владельцем рута, чтобы никто не изменил исполняемые файлы, а пользователю достаточно только права на выполнение. 🟢Чем меньше компонентов и открытых портов, тем меньше поверхность для атак. 🟢Использовать multistage для промежуточного контейнера для компиляции всего, зависимостей, временных файлов, образ может весить на треть меньше. 🟢Distroless с чистого листа, использовать минимальный набор пакетов, например избавиться от образа Ubuntuи выбрать Debian-base, наши контейнеры содержат уязвимости изначального образа, чекать это. 🟢Нужно обновлять всё до того, как выйдет из под поддержки. 🟢Оставлять только те порты, которые реально нужны, избегать 22 и 21 3389 (ssh & ftp & rdp). 🟢Никогда не помещайте логины/пароли в команде, в докерфайлах, переменных, docker secret или любой другой менеджер секретов ok. 🟢Не использовать ADD, только COPY (когда используем точку - это воркдир где лежит докерфайл). 🟢При сборке используйте .dockerignore чтобы убрать сенситив дату, это как .gitignore. 🟢При сборке вначале команд лучше кешировать команду ран, а потом скопировать исходные данные. 🟢Метадату записать. 🟢Использовать тесты типа Linter и сканеры образов для CI. 🟢Время от времени делать prune, докер любит много места жрать
Find your optimal posting schedule and stick to it. The peak posting times include 8 am, 6 pm, and 8 pm on social media. Try to publish serious stuff in the morning and leave less demanding content later in the day. “[The defendant] could not shift his criminal liability,” Hui said. Just at this time, Bitcoin and the broader crypto market have dropped to new 2022 lows. The Bitcoin price has tanked 10 percent dropping to $20,000. On the other hand, the altcoin space is witnessing even more brutal correction. Bitcoin has dropped nearly 60 percent year-to-date and more than 70 percent since its all-time high in November 2021. The SUCK Channel on Telegram, with a message saying some content has been removed by the police. Photo: Telegram screenshot. For crypto enthusiasts, there was the “gm” app, a self-described “meme app” which only allowed users to greet each other with “gm,” or “good morning,” a common acronym thrown around on Crypto Twitter and Discord. But the gm app was shut down back in September after a hacker reportedly gained access to user data.
from us
