Docker kontejnery nejsou automaticky bezpečné. Projděte tento checklist.
Image¶
- ☐ Oficiální nebo ověřený base image
- ☐ Pinovaný tag (ne :latest)
- ☐ Multi-stage build (minimální finální image)
- ☐ Image scanning (Trivy, Snyk)
- ☐ Žádné secrets v image layers
Runtime¶
- ☐ Non-root uživatel
- ☐ Read-only filesystem kde možné
- ☐ Drop all capabilities, přidejte jen potřebné
- ☐ Seccomp/AppArmor profil
- ☐ Resource limits (memory, CPU)
Network¶
- ☐ Minimální exposed porty
- ☐ Custom network (ne default bridge)
- ☐ TLS pro inter-container komunikaci
Host¶
- ☐ Docker daemon bez TCP (jen socket)
- ☐ User namespace remapping
- ☐ Aktuální Docker verze
- ☐ Log rotation nastavená
Nástroj¶
Spusťte docker bench security (github.com/docker/docker-bench-security) pro automatický audit.
dockersecuritykontejnery