Bernd Obermayr schrieb:
Warum ist ein Container sicherer? Die Programme in Container müssen sich ja mit meinen Disks, meinem Memory, meinem Grund-System... unterhalten und wenn die da was ändern möchten, dann können sie das doch, wenn sie es können, egal ob aus einem Container heraus oder "direkt".
Wenn ich es recht verstehe, was wohl nicht der Fall ist, dann wäre doch die Gefahr grösser, wenn ich statt einer Library aus einem offiziellen Repo, x Versionen dieser Library in x Containern habe, oder nicht?
Und wer prüft diese Libs? So wie es jetzt ist, fühle ich mich da relativ sicher, immerhin schaut da die Linux Gemeinde drauf. In den Containern haben wir keinerlei Kontrolle.
Das Risiko hat doch nix mit Containern zu tun. Wer garantiert Dir denn, dass heute kein böswilliges Kommando im Post-Install-Script von einem rpm drin steht? Oder eine Nicht-Open-Source-Software einen Trojaner enthält, entweder in einer heute schon mitgebrachten Library oder gleich im Executable. Und selbst in Open-Source-Software kann ich keine Millionen Code-Zeilen prüfen. Die Komplexität von Software steigt bekanntlich, zusammen mit der Leistungsfähigkeit. Umgekehrt wird ein Schuh draus. Wenn die Software in Containern steckt und irgendwas böswilliges enthält, wird sich die Bedrohung erst mal auf den Container beschränken. Wenn sie ein Kommando enthält, was alle Daten löscht, löscht sie nur sich selbst. Soll sie doch. -- Manfred Härtel, DB3HM mailto:Manfred.Haertel@rz-online.de http://rz-home.de/mhaertel