
私は厄介な状況に遭遇しました。Docker Alpine メインページイメージは、マイナー バージョン/セキュリティ修正のために毎月更新されます。CVE のあるパッケージは、安定バージョン (v3.17.*) には更新されませんが、バージョンには適用されますedge
。
のようにリリースバージョンを指定してパッケージを更新できることは知っていますapk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/community
。ただし、 は安定していないため、そうはしませんedge
。
私の実際の状況は次のとおりです。
Docker Alpine 3.17.3を使用すると、git
パッケージのバージョンは2.38.4-r1(苦しんでいるCVE-2022-23521)。修正版は2.39.1-r0しかし、緊張しています。
CI がエラーを発しているという事実をそのまま受け入れ、安定したリリースで修正が利用可能になるまで待つべきでしょうか? 最善のアプローチは何でしょうか?
答え1
この CVE はリモート コード実行につながる可能性があり、重大として分類されています。サービスがこれに公開されるよりも、「不安定」なバージョンを使用する方がよいと思います。インストールするバージョンに既知の脆弱性があるかどうかを確認してください。
Git はメイン ブランチ (コミュニティではない) にあるため、次のようにしてエッジ バージョンをインストールできます。
apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/main
本日よりgit (2.40.1-r0)がインストールされます
他にも、好みのバージョンでマルチステージのソースからgitをビルドしたり、異なるディストリビューションを使用したり、セキュリティ上の問題がないgitパッケージの古いバージョンを見つけたりといった選択肢は数多くあります。これらは、よりテストされ、安定しています。