我偶然發現了一個棘手的情況:我讀到Docker Alpine 首頁該圖像每月都會更新以進行次要版本/安全修復。具有 CVE 的軟體包不會更新為穩定版本 (v3.17.*),但會在版本上更新edge。
我知道可以透過指定發布版本(例如apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/community.但我不會這麼做,因為edge不穩定。
這是我的真實生活狀況:
使用Docker Alpine 3.17.3,該git套件是on版本2.38.4-r1(患有CVE-2022-23521)。固定版本是2.39.1-r0但處於邊緣。
我是否應該接受我的 CI 正在抱怨的事實並等待穩定版本上提供修復?最好的方法是什麼?
答案1
此 CVE 可能會導致遠端程式碼執行,因此被歸類為關鍵 CVE。我認為使用“不穩定”版本比讓您的服務暴露於它更好。只需檢查您要安裝的版本是否有任何已知漏洞。
因為 git 位於主分支(而不是社群),所以您可以像這樣安裝邊緣版本:
apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/main
從今天開始它將安裝 git (2.40.1-r0)
還有許多其他選項,例如使用您喜歡的多階段版本從原始程式碼建立 git、使用不同的發行版,或尋找不包含任何安全問題的舊版本 git 套件 - 它將經過更多測試/穩定