Docker Alpineのセキュリティアップデートを実行する方法

Docker Alpineのセキュリティアップデートを実行する方法

私は厄介な状況に遭遇しました。Docker Alpine メインページイメージは、マイナー バージョン/セキュリティ修正のために毎月更新されます。CVE のあるパッケージは、安定バージョン (v3.17.*) には更新されませんが、バージョンには適用されますedge

のようにリリースバージョンを指定してパッケージを更新できることは知っていますapk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/community。ただし、 は安定していないため、そうはしませんedge

私の実際の状況は次のとおりです。

Docker Alpine 3.17.3を使用すると、gitパッケージのバージョンは2.38.4-r1(苦しんでいるCVE-2022-23521)。修正版は2.39.1-r0しかし、緊張しています。

CI がエラーを発しているという事実をそのまま受け入れ、安定したリリースで修正が利用可能になるまで待つべきでしょうか? 最善のアプローチは何でしょうか?

答え1

この CVE はリモート コード実行につながる可能性があり、重大として分類されています。サービスがこれに公開されるよりも、「不安定」なバージョンを使用する方がよいと思います。インストールするバージョンに既知の脆弱性があるかどうかを確認してください。

Git はメイン ブランチ (コミュニティではない) にあるため、次のようにしてエッジ バージョンをインストールできます。

apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/main

本日よりgit (2.40.1-r0)がインストールされます

他にも、好みのバージョンでマルチステージのソースからgitをビルドしたり、異なるディストリビューションを使用したり、セキュリティ上の問題がないgitパッケージの古いバージョンを見つけたりといった選択肢は数多くあります。これらは、よりテストされ、安定しています。

関連情報